web2
暴力破解
题目地址:http://39.100.83.188:8002
发现这是一个已经给了用户名 只需要破解三位数字密码即可
有验证码需要通过验证码
随便输入一个密码 将验证码输入进去
通过burp抓包然后爆破
如下(输入完之后先不要点击submit)
此时,打开burp,设置好代理(这里不懂的自己查一下burp使用教程,里边有详细介绍)
然后点击submit
你会看到burp抓包的结果,如下:
然后鼠标右击空白区域,
点击Send to Intruder成功后点击Intruder
如下:
注意此时能看到pwd有值了 只要把pwd的值传进入进行了
如下:
此时要注意把Cookie 和user_code的值清空,只需要传入pwd的值就行
如下:
然后进行爆破
如下:
因为是三位数的密码,所以设置就是从0-999就行了
然后点击右上角的:Start attack
发现996的Length值跟其他的不一样,从而得出结果为996
提交结果得到答案:
flag is flag{996_ICU}
就是这样的啦!!