bugku-bp题解

      

 根据题目提示,这道题应该是一个暴力破解的题目。并且使用的字典是top1000的字典。根据提示z????? 猜测应该是一个以z开头的6位密码

top1000字典下载链接:top1000.txt · 朽木/PasswordDic - Gitee.com

 打开网址,已知用户名是admin求密码

使用Burpsuite进行抓包   发送ctrl+i

 设置payloads,点击payload中的载入加载我们的top1000字典,点击攻击

经过攻击,我们发现很奇怪返回结果长度都一致, 是不是字典有问题,还是说长度不管怎样都是一样,于是我们查看响应包,观察内容

 通过观察响应包里面的内容,我们发现错误包里面都会返回一个JavaScript代码告知我们的密码有错误,所以我们通过Burpsuite的 (Grep – Match 在响应中找出存在指定的内容的一项。)过滤掉存在JavaScript代码中的{code: 'bugku10000'}的数据包。

 点击Intruder中的选项找到Grep-Match(在响应中找出存在指定的内容的一项。)

 在输入框中我们输入{code: 'bugku10000'}之后点击Add添加。

  发现密码为zxc123。在网站上进行登录 发现登录成功,并得到了flag

 

 

 

 

 

 

 

  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值