在有token登錄時，如果不加以處理，每次登錄token值都不同，給暴力破解帶來一定的麻煩。所以利用登陸時服務器下發的token值做一個宏放到驗證token的位置

環境

????????burpsuite

????????Firefox瀏覽器

????????pikachu漏洞練習平臺

步驟

? ? ? ? 打開抓包，輸入用戶名、密碼刷新抓取

? ? ? ? 將抓到的包傳入intruder攻擊界面，將需要爆破的目標位置進行修改，選擇爆破方式集成炸彈，清除(clear)所有選中的字段，添加需要暴力攻擊的字段，在此選擇user、password字段（add）

選擇payload，給用戶名和密碼簡單設置一些字典

在resource pool中設置線程為1(token是一直變化的，在使用宏時一次只使用一次) 這個是新版的，改線程的地方略有不同。

?開始添加宏：進入Project options，選擇我們需要的包 token.php

?在session handling rules中添加這個宏，并運行這個宏

?

?在scope中選擇攻擊和重放模塊，運行范圍設置為所有url

回到intruder中 start attack 開始爆破，成功抓到。

后面數字不同的，則為正確用戶名密碼，其他相同的則為錯誤返回包。第一行空白可能是我之前登錄頁面輸入了正確的用戶名密碼

?

總結

以上是生活随笔為你收集整理的暴力破解-----token验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。