burp suite 高端利用之编写宏规则绕过滑动验证码

这次**出来的后台带有滑块验证码，后台登陆页面如下：

本来想用pkavhttp那个工具**一波，尝试了一下，实在不好用，然后仔细研究了一下burp的宏模块，教程如下：

1.发起请求，抓包查看提交的参数，发现有verify参数，也就是说这个参数是后端校验的。

到网页源码里搜索这个参数，发现这个参数就在已经加载好的后台登陆页面的源码里。

于是，我们可以编写宏规则，来绕过这个验证码进行暴力**。我用的是***本，可以对照位置找相应的模块设置就行。

这选项卡最后一项，点击添加，然后再选中源码内有验证码的url。之后编辑另外一个界面。

点击项目设置，点击添加。

参数名称设置跟提交的参数名一样，比如我要**的参数是：verify  双击需要提取的字符串，会自定填写规则。点击ok。

 

然后宏规则已经写好了，接下来，添加启用规则。

范围自己设置一下，不回的话，可以参照我的，把参数名改一下。

点击ok，完成。之后在测试器和重发器内就可以实现自动填充verify参数了。填充字典尽情**。