攻防世界web区新手题weak_auth
小宁写了一个登陆验证页面,随手就设了一个密码。
这个是我第一次搞**,感觉特别有意思。
先打开场景,我们输入账号密码,我们什么都不知道勒,随便输一个呗。
哟,有信息了喔,我们的账号知道了为admin,但是我们的密码还不知道勒
我们就开始使用我们的抓包工具了,我用的是burpsuite。
设置好代理就开始拦截
然后输入账号admin,密码的话就随便打个123咯
拦截成功
送去**
我们只是不知道密码,就只在密码这里设置**点
然后设置好字典(这个字典可以自己去网上下载一个)
开始**
**完了后点一下Length排序发现有内鬼。这个密码为123456的时候长度不一样
ok那我们推测密码就是这个123456。
把代理关掉重新进一下场景账号为admin密码为123456
flag出来了!反正我当时第一次做出来flag感觉贼爽哈哈哈。