验证码绕过(on server) 和验证码绕过(on client)
Posted ruoxi
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了验证码绕过(on server) 和验证码绕过(on client)相关的知识,希望对你有一定的参考价值。
一:验证码绕过(on server)
1.保持bp的抓包状态,随便输入账号和密码,先不输入验证码。
2.打开bp,右击选择send to repeater,把请求发送到 repeater
3.打开Repeater,点击GO,观察状态。
4.这时,右侧会显示验证码不能为空,因为此前没有输入验证码
5.如果随便输入一个验证码,此时显示验证码错误!
6.然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!
7.然后把pikachu平台中的正确的验证码输入进去,则显示账号或密码错误!说明了后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!步骤和基于表单的暴力破解是一样。将Proxy中抓到的,右击发送到Intruder,然后添加账户和密码变量,放入字典。
二:验证码绕过(on client)
1.保持bp的抓包状态,在pikachu平台中随便输入账号和密码,并输入正确的验证码,不然不能提交。这是与上一个验证通过不同的地方。
2.打开bp之后,会显示抓包成功
3.右击把请求发送到Repeater,点击GO观察右边,显示账户或密码错误!
4.把验证码删除或者修改再点击GO,也是显示的账号或密码错误!这样就可以确认验证码虽然提交了,但后台却没有进行验证!
5.接下来同样进行将Proxy中抓到的,右击发送到Intruder,然后添加账户和密码变量,放入字典。
总结:(on server)后台会把提交的验证码进行验证,看是否正确,接下来进行暴力破解!
(on client)后台没有进行验证提交的验证码是否正确!
以上是关于验证码绕过(on server) 和验证码绕过(on client)的主要内容,如果未能解决你的问题,请参考以下文章
如何使用 Selenium 和 Python 绕过 Google 验证码?
使用广度优先搜索OpenCV 和 Tesseract 绕过验证码