客户有弱口令检查时需求，很多系统用户名密码参数都是加密，分析加密耗费时间成成本比较高，且不一定能解密成功。
所以找了一款模拟提交登陆爆破的工具，大部分情况可无视用户名密码参数加密，内置ddddocr库，可自动识别验证码。

经测试验证码识别正确率还是挺高的，使用前注意安装脚本依赖。

1.爆破模式： 与burp4个模式相同，多了一个截图模式，意为爆破成功后自动截图生成报告。

2.浏览器：true为前端唤起浏览器模拟登陆。false为后台自动跑。

3.验证码错误关键词：输入密码错误时系统回显的密码错误提示。

自动模式：

自动模式下， 输入系统登录地址与验证码错误关键词，导入字典，适当调节线程，可直接开始爆破。

自动1.png

手动模式：

手动模式下需要手动填写各个参数的xpath，xpath地址填写方式看下图示例

xpath11.png
xpath.png

程序优点

优点1：针对网站后台用户名密码加密无需分析js即可爆破请求。
优点2：采用通用特征方式识别用户名和密码进行提交请求。
优点3：通过内置大佬ddddocr库可以进行存在验证码后台爆破。
优点4：通过监听请求数据可以做到验证码错误重试功能。
优点5：可以对大量不同登录系统进行批量爆破测试并截图。

工具地址：https://github.com/gubeihc/blasting