题目:
步骤:
1、进入场景,账户和密码均不填直接登录,得到提示账户——admin:
2、然后用admin和任意密码登录,并用burpsuite抓包,将抓到的包发送到intruder:
3、在intruder的positions中将username的§符号去掉,只保留password的§:
4、在Payload中添加上猜测的密码(也可以用自己的字典),然后点击start attack:
5、找到返回值不同的对应的即为密码:
6、用admin和123456登录即可拿到flag:
免责声明!
本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。