计算机管理系统:电脑网络技术记录本

安全信息

当前位置:首页 > 安全渗透 > 安全信息

Burpsuite爆破手机和邮箱验证码的步骤

今天新学了用Burpsuite爆破手机和邮箱的验证码,于是乎找了好几个小时,十来个网站实验,好像安全机制都挺严的,没一个网站爆破了,算了,懒得找了,先把流程写下来吧,有时间再去研究一下。


先找到需要爆破的网站,然后点进去网站,寻找到会员登陆和注册的页面,这里就拿注册页面实验。

Burpsuite爆破手机和邮箱验证码得步骤

随便找了一个网站的注册页面,手机号表单中填上一个没有注册的号码,密码设置,图像验证码手动打上,然后点击获取验证码,到获取验证码表单中随便填几个数字,(如果在实战中,最好先用自己手机号接收一下验证码,看网站发来的验证码是几位数的,以及有效时间是多久。)


接下来把浏览器的代理设置好,打开Burpsuite开启截断。红框里面的就是上图中验证码框随便填的0000

Burpsuite爆破手机和邮箱验证码得步骤

再把截断的内容发送到intruder,选择Posithions,把需要爆破的验证码框打个标记。

Burpsuite爆破手机和邮箱验证码得步骤

再选择Payloads进行设置,设置成自定义的验证码文本框,或者是用Burpsuite内部本身的生成功能,自动生成验证码。

Burpsuite爆破手机和邮箱验证码得步骤

Burpsuite爆破手机和邮箱验证码得步骤

验证码字典生成好了以后,点击右上角的Start attack开始进行爆破。

Burpsuite爆破手机和邮箱验证码得步骤

这边已经在开始爆破了,从0000~9999  一起10000个数字,爆破4位数的手机验证码。

Burpsuite爆破手机和邮箱验证码得步骤

如果爆破成功的话,我们可以从长度里面找到唯一的那个数字,就是正确的验证码。像我下面这个图,长度里面有多种数字,代表着有多种不同的返回信息,基本都是验证码错误,或者ip被封禁,又或者请稍候重试,等等。。。如果成功的话,会返回一个唯一的不同的数字。

Burpsuite爆破手机和邮箱验证码得步骤

文章评论

表情

共 0 条评论,查看全部
  • 这篇文章还没有收到评论,赶紧来抢沙发吧~