在CTFHub中被搁置好久的题:
(1)打开链接
点击click得到一个输入框
“Do u know admin?”可知这个题的用户名大概率是”admin“
(2)下载附件得到一个压缩包,解压是一个密码本,你可以一个一个试,不过这是最笨的方法
我们可以用burp抓包,进行密码爆破
在Basic后面有一串字符像Basic 64 将它 “YWRtaW46MTlzNDU=” 解码得
admin:19s45
可知这串字符是这个题的用户名和密码;
(3)将它进行爆破
将数据发送到 Intruder 进行爆破前的设置
在Basic 后的字符串上添加 Add $
导入(Load)的字典就是题目的那个附件
Payload Processing => Add => Add Prefix => 输入 admin:
Payload Processing => Add => Encode => 选择 Base64 Encode
Payload Encode,URL-encode前面的勾去掉 :防止将Base 64 的=化为3d
Start attack进行爆破
爆破完成后可以看到Length中有一个不同,点开复制对应的字符串的将其解码
得到用户名与密码,输入得到
ctfhub{156a52370f2294a9d9d94aa639640c9bcf421573}