根据题目提示,这道题应该是一个暴力破解的题目。并且使用的字典是top1000的字典。根据提示z????? 猜测应该是一个以z开头的6位密码
top1000字典下载链接:top1000.txt · 朽木/PasswordDic - Gitee.com
打开网址,已知用户名是admin求密码
使用Burpsuite进行抓包 发送ctrl+i
设置payloads,点击payload中的载入加载我们的top1000字典,点击攻击
经过攻击,我们发现很奇怪返回结果长度都一致, 是不是字典有问题,还是说长度不管怎样都是一样,于是我们查看响应包,观察内容
通过观察响应包里面的内容,我们发现错误包里面都会返回一个JavaScript代码告知我们的密码有错误,所以我们通过Burpsuite的 (Grep – Match 在响应中找出存在指定的内容的一项。)过滤掉存在JavaScript代码中的{code: 'bugku10000'}的数据包。
点击Intruder中的选项找到Grep-Match(在响应中找出存在指定的内容的一项。)
在输入框中我们输入{code: 'bugku10000'}之后点击Add添加。
发现密码为zxc123。在网站上进行登录 发现登录成功,并得到了flag