# Authentication Lab14 這題是「暴力破解 2FA 驗證碼」的進階實戰版，重點在於： - 繞過錯誤次數限制（會強制登出）＋自動重新登入的技巧。 重點： - 已知帳密：`carlos:montoya`。 - 登入後會要求輸入 2FA。 - 驗證碼會定期變動，所以你可能會錯過正確的值（所以要能「持續重試」）。 一樣先進入網站登入。  接著他會要我們輸入 F2A code，但我們啥也不知道，所以隨便輸入，但會發現，輸入兩次錯誤的值會被跳轉到剛剛的登入介面。   因此我們要想辦法去嘗試爆破但同時又可以在輸入錯誤兩次返回的情況下完成，這裡我們可以建立 Macro。 :::info 在 Burp Suite 裡，Macro 是一種「預錄一段操作流程」的機制，它會： - 自動執行一系列 HTTP 請求。 - 根據你設定的順序與條件，完成某個重複的動作。 可以想像成是一個「自動點登入按鈕 + 幫你輸入帳密 + 導向下一頁」的腳本。 ::: 一樣進入介面設定：  選擇本次登入流程會經過的三個動作：  - 進入登入畫面。 - 輸入帳密。 - 進入 F2A 驗證畫面。 接著回到 Intruder:  開始設定： - 爆破 F2A 碼。 - 0 到 9999。 - 自動補 4 位數。  開始進行爆破後可以得知 F2A 為： 最後拿去登入。 ---