题目提示密码为“zxc???”,猜测密码为zxc开头的6位字符串。
随意输入密码后,对返回界面进行源代码审计。发现脚本如下
<script>
var r = {code: 'bugku10000'}
if(r.code == 'bugku10000'){
console.log('e');
document.getElementById('d').innerHTML = "Wrong account or password!";
}else{
console.log('0');
window.location.href = 'success.php?code='+r.code;
}
</script>
通过这一句“window.location.href = 'success.php?code='+r.code;”,可以判断网页将跳转到以code作为参数的success.php页面。其中code的值来自于var r = {code: 'bugku10000'}。
至此,可以考虑用burp进行爆破。但通过第一次爆破过程中所以返回页面长度一致,可以判断code值的长度与'bugku10000'相同,也是10。考虑到对于10个字符长度进行爆破需要的时间太长,因此现在以code为参数爆破是不可行的。
因为code是success.php页面的参数,因此在登录页面当使用正确密码时,code的值(r.code)应该与'bugku10000'不同,进而r的值也与{code: 'bugku10000'}不同。
也就是说,如果我们输入正确的密码,返回页面的r将不是{code: 'bugku10000'}。
因此可以在burp的intruder爆破模块中,使用{code: 'bugku10000'}对返回包内容进行筛选。找到返回包不含有{code: 'bugku10000'}的,就可能是使用正确的密码。
Burp设置参数如下:
在返回结果中对“”列进行排序,没有√的,就可能是正确的密码。如下图,可以判断密码为“zxc123”。
使用zxc123登录,得到flag!
PS:设置爆破参数时,为了写文档方便只使用了数字000-999,实际爆破时请使用字符和数字