H32-Yakit绕过pikachu Token实现密码暴破

# 前提条件
1、下载安装Yakit
https://yaklang.com/

2、火狐浏览器安装代理切换插件
https://wiki.bafangwy.com/doc/850/

3、密码字典准备

![](/media/202505/2025-05-16_154857_3600060.6309030195037293.png)

例如新增的自定义密码字典，后面可通过`{{x(top100pass)}}`引用：

![](/media/202505/2025-05-16_155009_4686270.5371485231472631.png)

# 启动Yakit MITM

1、创建临时工程

2、安装SSL/TLS证书
第一次使用需要安装yakit根证书到操作系统，直接下一步安装即可

3、启动MITM抓包工具

![](/media/202505/2025-05-16_145614_9241680.23535603392920446.png)

4、使用新版 —— 劫持启动

![](/media/202505/2025-05-16_145730_8068100.7171233109652355.png)

# 推荐使用Yakit自带浏览器，无需配置

![](/media/202512/2025-12-29_165229_6838320.8130151612061609.png)

# 抓GET请求包
默认浏览器是全部放行的，不用管。

把火狐浏览器切换到Yakit代理（指定数据发送到8083端口）。

![](/media/202505/2025-05-16_151405_3628190.37565666853980373.png)

火狐浏览器打开：http://localhost/pikachu/
并且打开pikachu Token防暴破靶场：

![](/media/202505/2025-05-16_151429_1117810.633198839902704.png)

输入`admin`和任意密码登录一次

![](/media/202505/2025-05-16_151513_3317900.7591974603694877.png)

注意现在有两个包，一个GET，一个POST，备用：

![](/media/202505/2025-05-16_151728_7243200.40139093789203273.png)

# 设置第一个请求

劫持工具，在GET请求中，右键发送到Fuzzer

![](/media/202505/2025-05-16_151824_9294540.444907563956363.png)

发送请求，得到一个响应：

![](/media/202505/2025-05-16_152319_6913350.5191513084365443.png)

点击“规则”——“数据提取器”——“添加”

![](/media/202505/2025-05-16_151934_1567450.982963593893622.png)

把名称修改为`token`

![](/media/202505/2025-05-16_152027_9043560.6035779650305901.png)

点击“XPath”——“Raw”
在下方填入：`//input[@name='token']/@value`

![](/media/202505/2025-05-16_152150_4927900.35171864925788454.png)

注意：新版的Yakit默认提取“请求”，需要点这里切换到“响应”

![](/media/202512/2025-12-03_164637_8950670.4351838265192376.png)

点“调试执行”，可以看到弹出的框能匹配到token值。
点“应用”，保存数据提取器（这一步一定不能漏）
![](/media/202505/2025-05-16_152421_2157610.7485428122247203.png)

添加一个变量，类型：`fuzztag` 类型必须要修改！
名称`pass`，值`{{x(pass_top25)}}`

![](/media/202505/2025-05-16_152630_9885580.30180629290610705.png)

关于tag的用法可以看：
https://yaklang.com/docs/yakexamples/fuzztag

删除Cookie（必做）：

![](/media/202505/2025-05-16_152822_3481640.8637789143080444.png)

设置完的效果：

![](/media/202505/2025-05-16_152911_1810790.23529245620689165.png)

# 设置第二个请求

在登录的POST请求上右键，发送到Fuzzer

![](/media/202505/2025-05-16_152956_5765370.6222928706302764.png)

把请求体修改为（注意前面的空行不能删除）： 
`username=admin&password={{p(pass)}}&token={{p(token)}}&submit=Login`

`{{p(pass)}}` 是上一步设置的密码字典
`{{p(token)}}` 是上一步提取到的token

如图：

![](/media/202505/2025-05-16_153104_0431220.5104262453195301.png)

# 创建序列

点第一个请求的选项卡（编号为1或者其他），点击“序列”

![](/media/202505/2025-05-16_153312_1773630.09635311792312673.png)

把编号为2或者其他的选项卡，拖动进紫色背景
注意看：现在两个请求在一个序列中

![](/media/202505/2025-05-16_153412_7754920.5751252325887727.png)

Step 0 选择请求1：

![](/media/202505/2025-05-16_153451_4171360.45217982263505074.png)

点＋号添加一个请求：

![](/media/202505/2025-05-16_153519_5521770.655522628148012.png)

Step 1选择请求2：

![](/media/202505/2025-05-16_153537_7825610.33321150143300526.png)

点击第二个请求 —— 开始执行：

![](/media/202505/2025-05-16_153616_2605070.8677697545275704.png)

点两次按响应大小排序，其中第一个就是暴破成功的：

![](/media/202505/2025-05-16_153719_6273260.8183894594869217.png)

查看响应包确认：

![](/media/202505/2025-05-16_154507_3576090.48129503833094256.png)