验证码识别工具——Pkav HTTP Fuzzer

简介: 验证码识别工具——Pkav HTTP Fuzzer

01 背景知识


在很多时候,当对搜集的Web后台地址等进行用户名和密码的暴力破解时,大部分后台都有验证码进行防护,对于一般的Burpsuite工具是无法直接识别验证码的,除非安装了识别验证码的插件,这次来介绍一款经典验证码暴力破解工具:Pkav HTTP Fuzzer

Pkav HTTP Fuzzer是一款非常优秀的验证码识别工具。


注:Pkav HTTP Fuzzer针对较清晰的数字验证码效果比较好

本次使用的是:Pkav HTTP Fuzzer 1.0.2.1



02 CMS环境搭建


CMS搭建环境:

windows7

phpstudy   php版本5.2.17

phpwms1.1.2GBK cms 源代码

在url中打开地址即可安装

http://10.211.55.9/phpwms1.1.2GBK/install/



搭建之后即可进行入后台和前台页面



03  自动识别



这里使用右键在新界面打开这个验证码

http://10.211.55.9/phpwms1.1.2GBK/include/chkcode.inc.php


使用pkavhttpfuzzer这个工具来进行识别测试


首先还是需要使用bp抓一个包



将内容传到pkavhttpfuzzer中去,分别添加标记



到验证码识别模块,对识别范围和字符进行自定义

当输入验证码正确,但是密码或账户信息错误的时候会返回

当输入验证码错误的时候会返回

因此在软件里面如下设置:

  • 设置无条件跟踪重定向,长度固定为4位

  • 匹配规则中在正则表达式输入:用户名或密码不正确



  • 在重试规则中添加  验证码错误

回到变体设置模块,添加一个外部字典


直接在发包器进行测试(因为我本地测试的时候,返回长度总是0,所以这里换了一个进行测试)



相关文章
|
7月前
|
编解码 测试技术 索引
性能工具之 Jmeter 使用 HTTP 请求编写 HLS 脚本
在我们简要介绍了 HLS 协议的基础知识,接下来我们详细介绍一种使用 Jmeter 编写压测 HLS 协议脚本的方法。
156 1
性能工具之 Jmeter 使用 HTTP 请求编写 HLS 脚本
|
7月前
|
网络协议 Linux 网络安全
curl(http命令行工具):Linux下最强大的网络数据传输工具
curl(http命令行工具):Linux下最强大的网络数据传输工具
216 0
|
4月前
|
Web App开发 存储
常见抓包工具配置抓取HTTPS
常见抓包工具配置抓取HTTPS
|
5月前
|
SQL
常用工具类---SQL工具,HTTP工具
SQL工具,HTTP工具,两个实用小工具~~~
|
6月前
|
运维 Java Serverless
Serverless 应用引擎产品使用合集之是否提供工具来给OSS配置HTTPS证书
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
6月前
|
中间件
流量回放工具之GoReplay output-http 源码分析
【6月更文挑战5天】流量回放工具之GoReplay output-http 源码分析
96 2
|
6月前
流量回放工具之 GoReplay output-http-stats(HTTP请求统计) 源码分析
【6月更文挑战4天】流量回放工具之 GoReplay output-http-stats(HTTP请求统计) 源码分析
89 4
|
6月前
|
数据采集 Java API
Java HTTP客户端工具的演变之路
Java HTTP客户端工具的演变之路
|
7月前
|
JSON API 定位技术
.NET集成DeveloperSharp实现http网络请求&与其它工具的比较
该内容介绍了一个支持.NET Core 2.0及以上和.NET Framework 4.0及以上的HTTP请求调用方法,主要讨论了POST和GET两种形式。POST请求较为常见,涉及调用地址、发送参数、HTTP请求头和编码格式设置。文中提供了一个使用DeveloperSharp库发送POST请求的C#代码示例,用于发送短信,其中`IU.HttpPost`方法用于执行POST请求。此外,还提到了`HttpPost`方法的参数和返回值说明。最后简要提及了GET请求,通常用于URL带有查询参数的情况,并给出一个简单的GET请求示例。
|
7月前
|
JSON JavaScript 网络安全
新款HTTP代理工具Proxyman(界面美观、功能强大)
新款HTTP代理工具Proxyman(界面美观、功能强大)
2030 0

热门文章

最新文章