根据URL提示可知本题用爆破
本题要求的密码是5位数
修改google的代理服务器,再用burpsuite抓包,步骤如下:
1.将burpsuite打开后 点proxy >> intercept >>intercept is on >> 再浏览器页面输入密码 eg:1 并点击查看
2.抓包成功,页面如下:
如图可见最后一行显示我们输入的密码是 1
3.将抓到的包放到instruder中,步骤如下 点击Action >> 点击send to instruder 可以看见上面instruder栏变红 >> 点击进入instruder
4.
因为只有一个变量pwd,因此选择sniper
5.点击进入Playloads,如图设置参数进行爆破,因为密码为纯数字且有5位数,因此pwd变量的取值范围为10000---99999
6.开始爆破,点击start attrack,就可以休息一会儿,之后得到结果如图,
如果点击start attrack 后出现 Payload set 1: Invalid number settings 的提示,先点hex 后点 decimal 再开始start attrack
找出长度不同的payload
7.将得到的结果 13579 输入便可得flag