发现题目需要登录,先任意输入admin/admin进行登录尝试。没什么反应。抓包看数据。可以看见一条特殊字符串Basic realm="Do u know admin ?,暂时没有其他线索,我们假设用户名就是admin,然后进行暴力**。
Basic表示基础认证,字符串格式xxxxxxxxx==大概率为Base64编码
Base64解码得到开始尝试输入的账号和密码
将报文发送到Intruder,点击Add,将 Basic 后面 base64 部分添加为 payload position
加载题目附件中的字典
添加admin:
添加Base64编码
取消url编码的勾选,不然=会被转换成%3d
开始**
**完成之后,点击Length,发现一个长度不一样的,点击查看response,拿到flag