Bugku / CTF / WEB 输入密码查看flag

根据URL提示可知本题用爆破

本题要求的密码是5位数

修改google的代理服务器，再用burpsuite抓包，步骤如下：

1.将burpsuite打开后 点proxy >> intercept >>intercept is on >> 再浏览器页面输入密码 eg:1 并点击查看 

2.抓包成功，页面如下：

如图可见最后一行显示我们输入的密码是 1 

3.将抓到的包放到instruder中，步骤如下 点击Action >> 点击send to instruder 可以看见上面instruder栏变红 >> 点击进入instruder

4.

因为只有一个变量pwd，因此选择sniper

5.点击进入Playloads,如图设置参数进行爆破，因为密码为纯数字且有5位数，因此pwd变量的取值范围为10000---99999

6.开始爆破，点击start attrack，就可以休息一会儿，之后得到结果如图，

如果点击start attrack 后出现 Payload set 1: Invalid number settings 的提示，先点hex 后点 decimal 再开始start attrack

找出长度不同的payload

7.将得到的结果 13579 输入便可得flag