題目:
步驟:
1、進入場景,賬戶和密碼均不填直接登錄,得到提示賬戶——admin:
2、然后用admin和任意密碼登錄,並用burpsuite抓包,將抓到的包發送到intruder:
3、在intruder的positions中將username的§符號去掉,只保留password的§:
4、在Payload中添加上猜測的密碼(也可以用自己的字典),然后點擊start attack:
5、找到返回值不同的對應的即為密碼:
6、用admin和123456登錄即可拿到flag:
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。