打開網頁是一個簡單的登錄界面,先隨便登錄進去,發現是一個check.php文件,查看代碼發現:
於是就知道了,你需要一個字典,簡單的說就是爆破。
所以打開burpsuite工具,對該頁面進行抓取。
首先,看這個彈窗:
顯示username就是admin,所以我們只需要爆破密碼password就行了。
先抓取了數據包:
然后右鍵發送給intruder,然后就可以在測試器里看到了:
接着就會發現在位置那里有§符號,一對這個中間的數就代表我們要爆破的目標參數了。所以只需要選擇password后面的就行:
進入有效截荷,導入密碼字典:
開始攻擊,然后現在看長度,如果長度有不一樣的,就說明那個是正確密碼了。然后可以得到flag。
