在浏览器进入靶场地址
启动靶场
访问http://your-ip:8000/
在网站后面输入authenticate 进行用户认证
django提供的函数 处理登陆账户的验证是否存在
然后返回一个用户名admin 再在网站上输入admin进入登陆的页面 输入用户名 密码随便打上一个 然后打开代理 进入burpsuite
进行抓包完成后将内容发送 把密码设置为变量名 把自动添加的变量取消
然后进入intruder 添加爆破 然后对密码进行爆破
爆破的时候应该看密码的字段 因为看到a123123123的字段长度与其他的不同 所以a123123123是密码
关闭代理 回到我们的登陆页面 直接输入密码进入主页面
最后进行添加用户添加组