006-weak_auth
题目描述
小宁写了一个登陆验证页面,随手就设了一个密码。
解题思路
-
随便输点东西,提示需要以用户admin来登入
-
随便数个密码进去,它提示密码错误,按下f12,发现有个使用字典的提示
-
此题需要使用到工具,burpsuite。我使用了kali虚拟机里自带的免费社区版。推荐大家直接去burpsuite官网跟着它的建议入门教程过一下,了解一下基础用法。
-
输入admin点击登录,查看网络包,右键 copy to intruder,点击intruder-position,把admin边上的两个$符号去掉,保证爆破点只在password处
-
下载常用字典,github又上不去了,大家自行百度吧嘤
-
点击payloads,load一个常用密码的txt,点击右上角start attack开始爆破
-
发现有一个密码的相应包长度不太一样,点开看看response,找到你啦!