仅针对四位数的验证码 并且提交错误数据到服务器 正确的验证码不会失效,也就是平常我们所说的五分钟内失效 也就是说在这五分钟内我们可以尝试着将1000-9999这些数据,全部进行输入提交到服务器进行验证,
好了 了解了相关原理 ,现在我来教大家怎么破解,
下面对JMeter的操作需要对JMeter工具有一点基础 没基础的建议先看下基础
使用的工具:JMeter
1.下载JMete压缩包,打开jmeter.bat批处理文件,首先我要说的是,JMeter必须运行在java环境之上,所以在这之前你要配置好java环境
2.新建 -》 线程组/http请求/查看结果树、CSV Data Set Config,关于线程数 开1,然后循环数多少 等于下方你txt文件中数据数
a)然后 在http请求中 将有关接口参数 填写入内,以及服务器对应的ip地址、采取的协议、路径、方法等,如下图(body中 code的值是读取.txt文档中的)
b.然后新建一个文本文档,里面输入验证码的所有可能数据文档,当然小编这里只输入了1000-2999 然后在另存为,编码格式一定要改成utf-8,然后在
CSV Data Set Config中,填写有关下图参数
c.点击运行,此时,程序疯狂gogogo 结果树中 也是在gogogo 刷刷刷的往下跑
没多久 二千条数据跑完了 观察下面时间差 也就二分钟就解决了二千条数据的穷举
3.程序跑完之后,没必要去看响应返回数据,我直接使用新密码654321去登录 ,发现登录不上,
于是小编就排除了 验证码不属于1000-2999这个区间
但是这时候,相信大家都已经感受到了吧 一个线程 小编提交2000次数据 只要二分钟 按照这个速度
如果开五个线程 1000-9999这点数据 估计不到二分钟就已经穷举完了吧?
那么 总有一条请求 会成功 也就是说 我总有一条数据是正确的验证码,也就可以修改掉账户的密码
当然这种操作很费资源 当然这种多线程高速度 自然是要求电脑配置跟的上 但是暴力破解 本就是这种原理
还有几点要提醒各位的 ,在发起数据请求之前,也就是运行JMeter之前,自然是需要手动发下验证码 触及下这个验证码下发 然后我们在对他进行穷举验证,然后如果响应返回的不对 ,可以尝试添加cookie管理器
当然本文主要体现的是暴力破解的一个小流程
