这是真小白的第一次学习,做个笔记记录一下思路和辅助知识。
思路
整体思路是借助提供的提示和寻找隐藏的提示。
1、查看页面源码
根据实验指导书说明,首先访问攻击的网页,并查看源码。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/0be33c9ce7d0403cea48b31ba72411f6.png)
2、查看源码中的提示
直接访问URL,显示是乱码。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/fd940ec1eee72451567f2e84fbe7acc6.png)
下载发现只是个假提示。。。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/1cabf9266713111d9fe0f8b0b7649a30.png)
3、通过捕包和构造找提示
页面上没有更多提示了,那么提示可能被隐藏了,因此使用burp suite
捕包查看是否存在其他提示。
首先需要在浏览器设置代理。
在火狐浏览器的 Preferences - General 找到相关设置,选择自定义代理。
![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/d5c69a2e7e97e715568891465948d95d.png)
完成代理设置后,我们在burp suite