【攻防世界】CTF web新手09 弱口令** weak_auth
【攻防世界】CTF web新手09 弱口令** weak_auth
打开页面出现了一个登陆框,我们打开burpsuite,设置好代理,准备抓包。如何使用burpsuite抓包就不在这里写了。
在输入框中随便输入几个数,点击login,我们在响应包中发现了一些东西
我猜是由于这是新手题,所以会故意提示我们使用admin来登陆,顺便说:你可能需要一个字典
现在开始**密码
1.右键刚才发送的包,点击Send to Intruder
2.打开选项卡Intruder,点击position,椭圆框处软件已经自动为我们把要**的字段标注了出来
3.设置payload
4.开始**
有三种返回长度,441,434,437,可以看到441和434的响应包都是密码错误,437的响应包返回了flag