本文介绍如何利用HTTPFuzzer工具应对验证码问题,结合Burpsuite截包和WSExplorer抓包,详解验证码校验及使用步骤。同时提到了WSExplorer的局限性,适用于了解旧版HTTP协议抓包。
burpsuite因为常用,所以不多做介绍和截图。
HTTP Fuzzer
先说下burpsuite存在的缺陷,在暴力破解的时候在验证码多次变换的情况下,burpsuite对验证码不做校验,以致因验证码错误造成暴力破解失败。
因为在验证码校验上推荐以下工具
HTTP Fuzzer 此工具没有截包的功能
因此用burpsuite截包然后放在HTTP Fuzzer中
选择要爆破的密码,然后添加标记。如下图
在验证码处选择验证码,然后添加验证码标记,如下图
设置字典以及密码加密方式
选择图片型验证码识别 模块
在验证码地址上输入验证码图片的URL-自行去网页获取
然后进行识别测试,如下图
然后选择发包器模块。进行发包启动
以上是验证码校验工具HTTP Fuzzer使用过程
WSExplorer
此抓包工具只能抓取http协议,对https无效,老款工具,只能作为一个了解
界面如下:
选中你要抓取的浏览器,右击,打开进程即可
此款工具只能抓取数据包,老款工具可结合nc同时使用,nc可提交数据包
学习更多网络安全技术,欢迎关注‘LemonSec’
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
