思路:
第一次提交提示登录失败,第二次继续提交提示验证码错误。发现了如果一次次的提交密码,验证码也会随之生成新的。
和服务器中的session文件做匹配判断的正是PHPSESSID参数,当我去掉PHPSESSID参数时,又提示为登录失败而非验证码错误了,继续把代码send to Intruder正常爆破就发现成功了。
第一次提交提示登录失败,第二次继续提交提示验证码错误。发现了如果一次次的提交密码,验证码也会随之生成新的。
和服务器中的session文件做匹配判断的正是PHPSESSID参数,当我去掉PHPSESSID参数时,又提示为登录失败而非验证码错误了,继续把代码send to Intruder正常爆破就发现成功了。