pikachu学习-暴力破解模块

安装好XAMPP,burpsuite,配置好pikachu我们就可以进行pikachu平台的漏洞学习

我这篇博客主要写暴力破解模块讲解，它分为4个小模块，分别是“基于表单的暴力破解”，“验证码绕过（on client）”，“验证码绕过（on server）”，“token防爆破？”

1.基于表单的暴力破解

进入界面以后我们可以随意输入一组用户名密码，根据返回信息判断用户名密码正确性

用户名密码不正确，我们可以看一下burpsuite抓包信息

我们发现它的认证因素只有用户名密码，没有验证码，像这种简单防护基本都可以进行暴力破解，

那么我们直接将抓到的信息发送的到暴力破解模块进行暴力破解

暴力破解模块有4个选项卡，第一个选项卡Target即我们发送过来的目标地址和端口

第二个选项卡Position即可以看到发送到数据包信息

我们将没用的变量清除（clear）掉，然后添加（add）username和password变量，再选择攻击模式为cluster bomb

这里补充一下各种攻击模式的区别：

Sinper：一个变量设置一个payload进行攻击

Battering ram：可以设置两个变量，把payload同时给两个变量

Pitchfork：两个变量分别设置payload，然后按顺序一一对应进行破解

Cluster bomb：两个变量分别设置payload，然后交叉列所有情况进行破解（常用）

接下来点击第三个选项卡

因为我们选择的是Cluster bomb模式，所以有两个payload，写入相应字典，我随便写的，

当然如果你有自己的字典的话将plyload type选为Runtime file导入自己的字典也可以，

点击第四个选项卡Options将Grep-match里信息清除，然后添加我们页面用户名密码错误返回的信息

因为有的时候我们字典很庞大，一个一个去撞只看length很难看出，Grep-match可以很快帮我们找出返回信息跟你add的信息有区别的记录

接下来点击开始开始爆破

如上图，没有对号的即没有返回错误信息的，看length亦可，我们试一下“admin，123456”，正确

2.验证码绕过（on client）

这一关虽然加了验证码，但是通过观察源码可以发现，输入的验证码是通过前端的js进行验证，浏览器前端用js做验证码很轻松就可以绕过，所以说几乎没用

我们也可以抓包看一下，将数据包发送到repeater模块，在这个模块我们可以手动修改数据包内容，这里可以直接将内容返回后台,我们将验证码不输验证码，直接发送后台，我们发现返回信息“username or password  is not exist” 意思就是我们直接绕过了验证码，看到了返回信息，这是因为验证码提交了但没有进行后台验证。

好了接下来步骤跟基于表单的暴力破解相同，我直接给出爆破结果

3.验证码绕过（on server）

随便输入一组用户名密码，验证码，抓包，并将抓到的包发送到repeater模块，

我们不输验证码，或输入错误验证码试一下，

我们发现返回验证码未输入或错误等信息，说明验证码在后端进行了验证，

那我们再试一下验证码是否会过期，在浏览器输入界面先不要提交，直接刷新界面抓包，发送到repeater模块

我们这次验证码是29xh19，我们在repeater模块输入用户名密码验证码提交

得到用户名密码返回信息，这是一定的，因为这是这个验证码的第一次利用，接下来不改验证码，输入其他用户名密码试一下

我们发现依旧返回用户名密码错误，说明验证码没有过期，可以重复利用，ok,验证码绕过了，接下来我们按照“基于表单的暴力破解”一步步暴力破解即可

我直接给出破解后用户名密码

4.token是否防爆破？

答案是不能的，

在pikachu “token防爆破”界面打开浏览器开发者选项，打开Web控制台，用选择器查看一下我们提交的Form表单

我们发现除了用户名密码之外还有一个隐藏的input标签，它的name是token,那串数字即token值，它的作用就是当我们输入用户名密码点击登陆时，后台会根据用户名密码加上token值进行验证，token值会改变当我们刷新页面时。只有token值正确，才会对用户名密码进行验证，但其实也没有太大作用，因为它的值已经以字符串的方式直接输出到了前端html表单上

抓包之后，我们把token设置变量，options的grep extract添加token：

token变量的type设置成recursive grep

然后attack，

如图，得到用户名和密码。