攻防世界CTF——web新手区weak_auth

攻防世界CTF——web新手区weak_auth

　　　使用工具：Burpsuite抓包工具

　　　打开环境，我们看见一个登录页面，只有两个输入框，两个按钮（reset：重置；login：登录）。

　　　我们直接点击登录，弹窗提示我们需要用管理员身份登录网站，所以我们就认为账号的密码是admin。

 

　　　但是密码该怎么办呢，我们使用工具Burpsuite

　　　开启了拦截请求之后，输入账号名称admin，然后直接点击登录

　　　然后就抓到了下面这个包

 

 

　　　　　我们右键把他发送到Intruder

 

 

　　　　然后把admin两边的符号去掉，只是在旁边的密码栏的对应的地方加入符号，就可以在有效荷载中导入字典（比如txt文件），点击开始攻击，burpsuite就会把你这个txt文件的每一行当做密码输入进去，一个个测试然后回复你。

 

 

 

 

　　　通过回复我们可以得知123456就是密码，输入密码后得到flag