***使用工具
burpsuit、xp_CAPTCHA3.2(这两个工具网上一找一堆,我就不分享了,但是要注意捕获验证码的工具xp_CAPTCHA3.2最好基于python3.6以上版本运行)
***模拟环境
海洋网站(登陆界面)点击以下链接下载,利用phpstudy配置靶场海洋CMS - 开源免费PHP影视系统,影视CMS,视频CMS,电影CMS,SEACMS
***实验内容——破解含有验证码的登录页
1)打开网站的后台登陆页面(用bp的browser)
2)在终端运行xp_CAPTCHA3.2
运行成功后可以打开网站查看捕获的验证码
3)开始抓包破解
选好之后我们再次打开海洋网站登陆界面
复制验证码的网址
编辑一句话:xiapao:http://demo.hycom.com/include/vdimgck.php(这样才能被解析)
将以上代码插入抓到的包里
开始攻击
攻击成功
果然如此
***结语
以上密码爆破过程中并未体现xp_CAPTCHA3.2的详细安装步骤,粉丝前些日子私信我说这个插件安装起来有些吃力,我将在下一期出一个xp_CAPTCHA3.2安装和配置教程供粉丝们免费参考,老铁们一定给Blitz一个免费的赞和关注呦<'_'>
***特别鸣谢
算命瞎子(我虽然不认识你,但你的插件是真的好用)
andy老师
罗杰老师
标签:爆破,网站,验证码,CAPTCHA3.2,登陆,xp,CMS,思路 From: https://blog.csdn.net/Blitz_Oddessuse/article/details/140631294