# Authentication Lab6 這題是「Broken brute-force protection, IP block」是一種錯誤的邏輯驗證方式導致的暴力破解繞過。 一樣先進入網站後隨便輸入帳密去抓登入的請求封包,並丟到 Intruder 爆破。 ![image](https://hackmd.io/_uploads/r1Dbx0LPeg.png) ![image](https://hackmd.io/_uploads/ryDXlAIvll.png) ![image](https://hackmd.io/_uploads/BkKNxAUvxe.png) 不過本題設計的風格很微妙,假設錯三次就封鎖你,但如果你輸入對了,那就重新計算你錯誤的次數,所以我們只要交替去爆破他就可以了。 ![image](https://hackmd.io/_uploads/SyDCb0IPgx.png) ![image](https://hackmd.io/_uploads/S12jzCLvxe.png) 最後得出帳密為:`carlos:mustang`。 ![image](https://hackmd.io/_uploads/r1Wk7R8Dge.png) ![image](https://hackmd.io/_uploads/HydkX0Uvxl.png) ---