【攻防世界】CTF web新手09 弱口令爆破 weak_auth

【攻防世界】CTF web新手09 弱口令爆破 weak_auth

【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第1张图片
打开页面出现了一个登陆框,我们打开burpsuite,设置好代理,准备抓包。如何使用burpsuite抓包就不在这里写了。
在输入框中随便输入几个数,点击login,我们在响应包中发现了一些东西
【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第2张图片
我猜是由于这是新手题,所以会故意提示我们使用admin来登陆,顺便说:你可能需要一个字典
现在开始爆破密码

1.右键刚才发送的包,点击Send to Intruder
【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第3张图片
2.打开选项卡Intruder,点击position,椭圆框处软件已经自动为我们把要爆破的字段标注了出来
【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第4张图片
3.设置payload
【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第5张图片
【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第6张图片
4.开始爆破
在这里插入图片描述
有三种返回长度,441,434,437,可以看到441和434的响应包都是密码错误,437的响应包返回了flag
【攻防世界】CTF web新手09 弱口令爆破 weak_auth_第7张图片

你可能感兴趣的:(CTF笔记)