当前位置: 首页 > article >正文

网络安全学习(五)Burpsuite实战

bp功能确实强大,记录一个bp手机验证码的实例。

当然,首先要打开bp,设置好浏览器的代理。

浏览器访问实例网址www.xxx.com(隐藏真实网址)。

真实网址有个注册功能,需要手机验证码。

好的,我们依次输入手机号、输入密码。

 

 点击“获取验证码”,对应手机号就应该收到验证码了。

但是,如果手头没有这部手机,我们是不知道验证码是多少,这时,就需要使用bp来解决。

一、在页面“请输入验证码”的框中,随意填入验证码,如1111

二、在bp中,Proxy-将ntercept is off让其变成intercept is on(开启拦截)

三、点击“注册”,此时,因为bp已经拦截,所以可以在bp中查看要发送的数据包

四、右键空白处-将数据包发送至Intruder

五、在Intruder中,在Position标签界面内

首先选择attack type类型,共有四种:(参考文章https://www.cnblogs.com/moxuexiaotong/p/18303479)

(1)狙击手模式,只能对一个变量进行bp

(2)攻城锤模式,通常设置两个攻击变量,但这两个变量内容实际为同一个内容,如

发送链接中POST api/code=1111

发送数据中{'code':1111}

想要同时把1111设置为变量进行bp,就需要这种模式。

(3)干草叉模式,设置几个变量就可以设置几个字典,但是字典中的参数都是一一对应的

(4)集束炸蛋模式,设置几个变量就可以设置几个字典,交叉对应,存在的可能性最多

将1111设置为Intruder变量,

然后到Payloads标签界面内, 设置为0001-9999,步长为1

六、点击Start attack,等待。

七、针对长度不同的返回的那一个四位数Payload,就是正确的验证码,且注册成功。

八、尝试这个手机号和密码登陆,发现ok了。


http://www.kler.cn/a/309319.html

相关文章:

  • docker配置代理解决不能拉镜像问题
  • 关于GCC内联汇编(也可以叫内嵌汇编)的简单学习
  • WordPress HTTPS 配置问题解决方案
  • docker:docker: Get https://registry-1.docker.io/v2/: net/http: request canceled
  • idea 解决缓存损坏问题
  • MyBatisPlus 用法详解
  • 解决Matlab报错:MEX 文件 ‘D:\MATLAB\toolbox\maple\maplemex.mexw64‘ 无效: 缺少依赖共享库
  • 2024年某大厂HW蓝队面试题分享
  • Github打不开解决方法
  • 产品经理有必要学习大模型技术吗?
  • 【Elasticsearch系列十一】聚合 DSL API
  • 地平线秋招2025
  • 大数据处理技术:企业岗位需求决策
  • 【机器学习】--- 深度学习中的注意力机制
  • bootstrap application nacos环境配置失效
  • C++——stack和queue的模拟实现
  • 重学SpringBoot3-SpringApplicationRunListener
  • GORM查询指南:高效检索数据
  • 认识数学建模,什么是数学建模
  • 小红书热门系列,风口副业项目AI宠物壁纸号,玩法分享
  • AI教你学Python 第10天 :参数与返回值
  • TAPD卓越版的全面评测:超强的功能与用户体验优势
  • linux下日志系统setvbuf接口及结构体 handle_file_t成员介绍
  • 学习之git的团队协作
  • Qt问题笔记
  • Selenium之下拉框操作详解