题目描述:小宁写了一个登陆验证页面,随手就设了一个密码。
进入页面:
先随手输入一个用户名和密码:观察结果,这个时候说明用户名是admin
然后就是密码的猜测环节了,我这边依靠经验猜了两次就试出来了,但是正常的解法应该是通过burpsuite爆破。用bp抓包,发现有个check.php来校验我们的用户名和密码
然后我们将请求转到intruder,并将密码设置为爆破变量
设置攻击载荷
运气不错,第一个就是
查看返回结果
拿到flag:cyberpeace{2095f982c002f19be3149bc6cbf25603}
总结:这道题主要考察字典爆破以及burpsuite的使用。密码还是很简单的,网上随便找个字典就能爆破出来,问题不大。