打开题目,发现一个拥有账号密码的登录验证界面。
随手输入一组账号密码,网页提示请作为 admin 登录。
将账号名改为admin后再次登录,提示密码不对。
在没有任何有关密码的提示的情况下,我们只能对其爆破。
使用burpsuite对其进行抓包
发送给入侵(intruder)模块,点击右侧clear清除后选择password后面的值
然后添加一些可能的密码在Payloads的Payloads Options [Simple list]中。
推荐加载(load)一个密码本,当然也可以手撸(笑)。
点击 start attack 开始爆破。结果按长度排序。
长度不一样的那个就是密码了。
回到浏览器,输入admin 123456成功登录。
cyberpeace{515742066ec24222e43d86cbef9f6783}