Django靶场Django: the Web framework for perfectionists with deadlines.http://110.40.154.100:8000/
1.进入靶场出现界面
使用函数authentucate查看有哪些用户可以进行注入
2.然后我们访问http://your-ip:8000/admin
进入后台,输入账号,未知密码,对密码进行爆破
使用工具burpsuite进行抓包,在主机上开启带你设置,然后使用Burpsuite进行抓包
进入intruder界面进行密码变量设置,如下图所示
右侧clear$清除变量,添加密码的变量
网络上下载一个常用密码字典 ,使用字典进行爆破
爆破后观看长度length获取密码
由图像可知,密码为a123123123
login登录
用户admin
密码a123123123
注入用户信息
添加上用户信息
添加成功