攻防世界WEB新手区第七题

这题是困扰我最久的一题
都是因为Burpsuite的配置
本机的8080端口不知道被什么占用走了导致Burpsuite不能设置代理,
最ex的是他也不给个提示什么的害我卡在这里特别久
言归正传,配置好了后就好说多了
首先随便输入得知要作为admin账户登录

根据题目weak_auth猜测是要暴力破解
先拦截登录请求

送来暴力破解,将password设置为变量

还得从Github上导个好用的常用密码库

开始攻击
发现密码为123456的响应字段长度不一样

可知密码为123456
拿到flag

posted @ 2020-09-09 01:11  AD盖  阅读(180)  评论(0编辑  收藏  举报