介紹
Pkav HTTP Fuzzer這個可以識別驗證碼,用來進行web方面的爆破,現在看的話基本用的很少,因爲我試的時候只能識別沒有干擾元素的驗證碼,帶干擾元素的就不行了,現在就連干擾元素的驗證碼也不多了,小站可能還有,大部分的驗證碼都是圖片轉正、圖片拖到合適的位置、點相應的字、選擇相應的物件等等。但這裏還是記錄下pkav http fuzzer的使用,簡單的瞭解下。
使用
打開pkav http fuzzer底部有幾個選項,基本逐個配置下就行了,分別是變體設置、圖片驗證碼識別、非圖片驗證碼識別、重放選項和發包器。
第一個變體設置,需要把攔截的數據包內容複製進來,然後把要爆破的字段添加標記,驗證碼添加驗證碼標記,如下圖。
然後右側導入相應字典,如下圖。
設置好後切換到圖片驗證碼識別欄,把圖片驗證碼地址加上,選擇使用自帶搜索引擎,確定驗證碼範圍,我這裏是純數字,如下圖。
然後可以點擊識別測試按鈕進行相應的測試,可以看到帶干擾元素的識別是不準確的,如下圖。
這裏我們做演示不管它,設置好後切換到重放選項,可以設置些線程、驗證碼固定長度、ip僞造、ip代理等信息,根據需求設置即可,如下圖。
如果程序登錄會重定向的話,可以把無條件跟蹤重定向和自動跟蹤302重定向勾選上。根據需求設置好後,切換到發包器,啓動發包即開始爆破。
選擇相應的爆破記錄,可以在右側看到相對於的數據包和返回包。以上就是pkav http fuzzer的使用過程。
公衆號推薦:aFa攻防實驗室
分享關於信息蒐集、Web安全、內網安全、代碼審計、紅藍對抗、Java、Python等方面的東西。