攻防世界-wp-WEB-新手区-6-weak_auth

题目来源：

Cyberpeace-n3k0

题目描述：

小宁写了一个登陆验证页面，随手就设了一个密码。

题目场景:

111.200.241.244:60861

题目思路：

这道题是个弱密码题，随便尝试登录，会告诉你用admin来登录，可以使用burpsite暴力破解，弱密码是易于猜测的密码，爆破的意思是用可能的密码一次一次尝试，直到猜对密码为止。

解题过程：

打开链接，有一个登录页面当随便输入用户名user和密码password，弹出弹窗提示用admin账户登录，然后查看源码会提示你需要一个字典，这就很容易想到暴力破解了吧

这里用burp来尝试暴力破解，首先要安装好java，配置环境变量，然后下载burpsite的jar包，使用java命令打开后，抓取一个登录的包，ctrl+i设置好爆破位置和方法，设置好payload就开始攻击，可以从返回包的长度判断密码是否正确。

可以看到密码是123456的时候返回长度与别的都不一样，尝试用admin，123456来登录，登录成功获得flag

常见的密码
admin ——太容易猜出
123456 ——由于文化因素极其常用
BarackObama ——高知名度人物
monkey ——常见动物名且正好六位
password ——经常被使用，极易猜出
p@$$\/\/0rd ——简单的字母替换，易被黑客软件破译
nbusr123 ——常见人名
qwerty ——常用键盘的键排列
Taiwan ——地名

cyberpeace{158fb5f06d51a786219acd766c3b4003}