XCTF weak_auth

一.根据题目的描述应该是弱口令的题

　　

 

 

 　　对于常见的弱口令登录账号有：

　　admin

　　sa
　　Administrator
　　system
　　administrator
　　systeminfo
　　123
　　123456
　　sys
　　oracle001
　　oracle.com
　　root
　　ftp
　　anonymous
　　oracle
　　console

　　还有很多不再举例

　　密码：

　　654321
　　admin
　　sa
　　toor
　　root123
　　adminroot
　　123
　　abc123
　　123456
　　1q2w3e4r5t
　　XUhUHp6tEsrvt5SU
　　cimerroot@123
　　adminsa123..
　　123123
　　oracle001
　　oracle.com
　　admin123..
　　adminroot123
　　root
　　888888
　　admin123
　　这里采用Burpsuit帮我们爆破,先随便输一组账号密码进去，然后抓包，发送到Intruder模块

　　

 

　　设置好要爆破的字段

　　

 

　　

 

 

 　　然后开始爆破，爆破完成后发现这个长度为437的可能满足，查看响应的内容，即发现flag。