ctfhub：web基础认证

发现题目需要登录，先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?，暂时没有其他线索，我们假设用户名就是admin，然后进行暴力破解。

Basic表示基础认证，字符串格式xxxxxxxxx==大概率为Base64编码

Base64解码得到开始尝试输入的账号和密码

将报文发送到Intruder，点击Add，将 Basic 后面 base64 部分添加为 payload position

加载题目附件中的字典

添加admin:

添加Base64编码

取消url编码的勾选，不然=会被转换成%3d

开始爆破

爆破完成之后，点击Length,发现一个长度不一样的，点击查看response，拿到flag

 

原文链接：https://blog.csdn.net/weixin_45254208/article/details/105118260