https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5069
题解:暴力破解
工具:Burp Suite
- 随便输入下用户名和密码,提示要用admin用户登入,然后跳转到了check.php,查看下check.php的源代码
- 提示要用字典,那我们用字典(github地址在文末)爆破一下
- 用burpsuite截下登录的数据包,把数据包发送到intruder爆破
- 设置爆破点为password
- 加载字典
- start attack,发现密码为123456时,响应包的长度和别的不一样.
- 点进去查看响应包,发现flag
京公网安备 11010502036488号