碰到比较简单,很好辨认的验证码可以尝试此种方法爆破
审查元素,找到验证码对应URL
复制到域名后面访问一下,确定是验证码URL
然后,打开工具PKAV HTTP FUzzer,开始尝试自动识别验证码。
工具下载地址:https://sec.kim/2019/01/07/渗透测试工具%EF%BC%9Apkav-http-fuzzer/
点击下方图片型验证码识别,将验证码URL复制到工具中,设置参数,该网站验证码为四位可重复小写字母
点击识别测试,更换识别引擎多试几次,估计一下哪个准确率高
Burp抓包,将请求头复制到工具请求体中
设置要爆破的变量与验证码变量,这里我们爆破用户名,所以将用户名设置为变量。选择变体字典,这个变体就是我们设置的用户名变量,选择常用用户名字典
根据实际情况设置参数
点击启动开始爆破
有的验证码识别不成功,可以多试几次来降低误差