Pikachu靶场Token防爆破绕过与暴力破解实验报告

Pikachu靶场Token防爆破绕过与暴力破解实验报告

一、实验基本信息

实验名称：Pikachu靶场 Token 机制绕过与防爆破缺陷利用实验

实验环境：

• 攻击机： Burp Suite Community

• 靶场环境：Pikachu 漏洞测试平台（内网搭建）

• 网络环境：192.168.2.0/24 内网，DNS正常解析访问靶场

实验目的：

1. 理解 Web 端 Token 验证机制的作用（防止重复提交、简单防爆破）；

2. 掌握 Pikachu 靶场 Token 防爆破逻辑缺陷原理；

3. 学会利用 Burp Suite 抓取 Token、自动携带 Token 进行连续爆破；

4. 掌握“每次请求刷新 Token”场景下的爆破绕过方法；

5. 对比普通爆破与 Token 动态爆破的区别，掌握动态参数爆破技巧。

二、实验原理

Pikachu 靶场的 Token 登录防爆破模块，属于动态Token校验机制。普通弱口令爆破场景中，页面每次登录失败后会刷新新的Token，如果直接使用固定数据包爆破，会因Token失效导致全部请求失败，从而防御简单暴力破解。

该漏洞核心原理：

攻击者可通过 Burp Suite 获取响应页面最新Token → 自动带入下一次请求，循环复用动态Token，成功绕过页面自带的简易防爆破机制，实现账号密码暴力破解。

三、实验步骤

（一）环境准备与抓包配置

1. 开启 Burp Suite，监听本地 127.0.0.1:8080 端口；、

2. 浏览器配置froxyproxy插件进行代理，所有流量经过 Burp 转发；

3. 浏览器访问 Pikachu 靶场登录爆破模块（token 防爆破页面）；

4. 随意输入账号密码，提交登录，成功抓取登录数据包。

（二）分析数据包与Token机制

抓取的登录数据包核心内容如下：

POST /vul/burteforce/bf_token.php HTTP/1.1
Host: pikachu.centos7.com:9002
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:152.0) Gecko/20100101 Firefox/152.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9,zh-TW;q=0.8,zh-HK;q=0.7,en-US;q=0.6,en;q=0.5
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 74
Origin: http://pikachu.centos7.com:9002
Connection: close
Referer: http://pikachu.centos7.com:9002/vul/burteforce/bf_token.php
Cookie: PHPSESSID=2fhkil15dd56n3egmq4nkv64a7
Upgrade-Insecure-Requests: 1
Priority: u=0, iusername=admin&password=123&token=772176a366efb997a8504113029&submit=Login

页面机制分析：

• 每次登录失败，后端会生成全新 Token，旧 Token 立即失效；

• 普通直接 Intruder 固定数据包爆破，所有请求全部失败；

• 必须每次请求先获取页面最新Token，再带入登录请求。

（三）Burp配置动态Token获取（核心绕过步骤）

1. 将登录数据包发送到 Repeater模块,拿到一个返回包（弄到一个完整的请求与响应过程，响应包中有新的token值）；

2. 重新抓登录数据包，发送到 Intruder模块，载荷位置选择密码位，作为爆破变量；

3. 进入 项目设置的Sessions，添加宏以及会话规则：

4.配置宏和会话

• 配置宏

在宏中点击添加

在宏记录器中过滤我们的要爆破页面的记录

在这些记录的返回包中要有token值，如图单击后然后点击确认

返回到我们的宏编辑器中，我们在点击右侧的项目设置，再带点击添加。

在数据包中找到token的value部分再选中，并在参数名称上填token对应的name，然后点击确定再确定。

这里宏就配置好了

• 接下来配置会话处理规则（决定这个宏在一个会话中如何运行）

  这里先配置会话

  同样先点击添加，再点击添加选择运行宏

  

选中我们刚才配置的宏

在这里我们选择第二个点击编辑，输入我们上面的token对应的name，配置完后关闭并确认

这里可以配置该会话运行的范围（可选）

点击添加输入我们运行该会话规则的网站范围，配置完后点击确认即可

4. 配置成功后，Burp 会实现：每一次爆破前自动刷新Token → 携带新Token提交密码。

（四）加载密码字典并开始爆破

1. 导入常用弱口令字典，设置最大并发数（这里的尽量为1）；

2. 开启爆破攻击；

3. 观察数据包响应：

• 错误密码：响应长度短、提示登录失败；

• 正确密码：响应长度明显不同、页面跳转、登录成功；

  

（五）验证爆破结果

1. 根据响应长度差异，筛选出正确密码数据包；

2. 复制正确账号密码；

3. 关闭抓包，在靶场页面手动登录，成功进入后台，验证漏洞利用成功。

四、实验测试结果

1. 成功抓取带 Token 的动态登录数据包，理解了 Token 简易防爆破机制；

2. 成功绕过 Pikachu 页面自带的 Token 防爆破策略，解决固定Token失效问题；

3. 成功暴力破解出靶场正确登录密码；

4. 验证了：前端 Token 仅为浅层防护，无后端限流、无IP封禁依然可以被完整绕过。

五、实验报错与问题解决

问题1：直接爆破全部请求失败

原因：每次登录失败 Token 刷新，固定数据包 Token 失效。解决：配置 Burp 动态获取、自动替换 Token。

问题2：正则匹配不到页面Token

解决：查看网页源码确认 Token 字段格式，修正正则匹配规则。

问题3：爆破速度慢、丢包严重

解决：适当降低线程，匹配内网靶场性能，避免请求过载。

六、实验总结

本次实验完成了 Pikachu 靶场 Token 防爆破绕过与暴力破解全过程。理解了网站 Token 机制的防护意义与局限性：前端 Token 只能防御基础的固定数据包爆破，无法防御带有动态获取Token能力的专业渗透工具。实验掌握了 Burp 动态参数抓取、正则提取、自动替换载荷的高级爆破技巧，掌握了动态验证场景下的渗透测试思路，明确了单纯依靠前端Token防护是极不安全的。

七、安全修复建议

1. 后端增加登录频率限制，同一IP短时间多次失败直接拦截；

2. 增加图形验证码、滑块验证码等人机校验，拦截工具批量请求；

3. 连续失败多次后锁定账号一段时间，禁止持续爆破；

4. 提升Token复杂度并绑定用户会话，防止批量抓取复用；

5. 后端记录异常登录行为，实时拦截高频恶意请求。