根据要求尝试输入{用户名:admin; 密码:123456},由‘’Do u know admin"猜测用户名为admin,信息错误无响应
根据输入前后抓包结果差异,考虑” Authorization: Basic YWRtaW46MTIzNDU2”为输入内容,观察得“YWRtaW46MTIzNDU2”为4的倍数,猜测为base64编码
使用题目文档中“10_million_password_list_top_100”文件对密码进行爆破:
1.选中clear清除原有标记;选中Basic后字符串,点击Add标记为爆破内容
2.选择Base64编码方式
3.选择“Custom iterator”
4.添加前缀”admin:”到position1
5.添加字典文件到position2
6.为防止“:”被url编码,取消勾选url-encode
7.开始爆破
8.根据长度显示包,密码唯一,找到长度不同于其它的包,发现response,得到flag