这关最简单了,丢工具完事
把字典下载下来
审题,因此做后台扫描
没扫出来,先进robots.txt看看
有个Admin
访问试试
看到有验证码,我最先考虑的是用插件进行验证码识别然后进行爆破,但此处大米cms存在验证码复用的漏洞,所以大家信息收集要做好
随便输点什么,验证码一定要输对
bp抓包,右键send to intruder
爆破步骤不做赘述
如图
这关最简单了,丢工具完事
把字典下载下来
审题,因此做后台扫描
没扫出来,先进robots.txt看看
有个Admin
访问试试
看到有验证码,我最先考虑的是用插件进行验证码识别然后进行爆破,但此处大米cms存在验证码复用的漏洞,所以大家信息收集要做好
随便输点什么,验证码一定要输对
bp抓包,右键send to intruder
爆破步骤不做赘述
如图