研究 学院 beplay2018官网
我的帐户 顾客 如何购买 关于 博客 职业 合法的 接触 经销商

Burp Suite用户论坛

登录以发布

打击入侵者有效载荷到马克罗

Sharkeon |上次更新:2022年4月26日03:35 UTC

您好,我目前正在使用蛮力攻击进行此实验室:2FA旁路。我认为我有解决方案,但问题是我无法运行它。主要问题是,我无法弄清楚如何将有效载荷从入侵者请求传递给运行后Makro。正如上一个实验室中所学的那样,我能够用请求链构建一个Makro,以首先获取登录页面,登录,提交2FA代码,并从先前的请求中动态获取并设置CSRF-TOKENS。要调用Makro,我就像以前的实验室一样,在My-Account页面上提出请求。但是,如何从入侵者进入Makro的生成有效载荷以强迫2FA代码。我找不到网上的方法,也不想通过给定的解决方案破坏我,这可能无论如何都不同。是的,通过有关如何执行此操作的研究,我偶然发现了这个论坛上的帖子,在该论坛上,支持已经说明我可以使用相同的2FA代码,因为它不会再生。但是对于五旬节来说,最好知道如何使用动态生成的有效载荷而不是静态的有效负载来执行此操作。提前致谢。

Ben,Pbeplay官网可以赌ortswigger代理商|上次更新:2022年4月27日10:28 AM UTC

嗨,这个特定实验室的目的是登录Carlos用户。场景是,尽管您具有用户名/密码组合,但您不知道相应的2FA验证代码。问题是,如果您使用凭据登录,然后提供不正确的2FA代码,您将随后登录,并且必须从一开始就开始该过程。从表面上看,这似乎防止了验证代码的蛮力。但是,您可以使用Burp的会话处理规则来解决此问题。宏应用于处理提供凭证的请求顺序,并且应使用入侵者攻击来执行2FA验证代码的蛮力强迫。实际上,在每个入侵者请求之前正在运行宏,以确保您在进攻方面的凭证登录后恢复原状,然后处理要求发送请求以试图违反2FA验证代码。听起来您可能正在尝试与这种方法有所不同,并试图在宏本身内执行蛮力强迫?

你需要登录发布答复。或者在这里注册, 免费。