弱口令
题目链接https://www.ctfhub.com/#/skilltree
通常认为容易被别人(他们有可能对你很了解)猜测到或被**工具**的口令均为弱口令。
点开题目场景,会看到一个管理后台的登录页面。根据“管理后台”几个字,我们可以猜测用户名为admin
接着随便输入一个密码,打开bp,抓包
选中第二条记录,右击,“Send to Intruder”,打开选项卡Intruder,点击position,椭圆框处软件已经自动为我们把要**的字段标注了出来。
设置payload,加载自己的密码字典(包含一些常见的密码),开始**。
可以发现正确的密码,他的记录长度和其他的不同。查看response,会在里面找到flag。
后面提交一直不成功,有点怀疑自己是不是找错了。我又用账号密码登录,又得到同样的flag。
后面提交几次才发现多了一个空格,心累,感觉被自己蠢哭。