ctfhub——HTTP

基础认证

在题目附件中得到一个密码字典，所以猜测这道题就是利用burp爆破出登录密码，得到信息

拿到题目后只发现一个提示，点击click

出来一个登录框，在题目的附件中有一个字典，就是利用burp抓包爆破账号和密码登录

抓包后通过中继器模拟发包得到数据回显提示，因为没有给出用户名字典，所以猜测这个就是用户名

而且在数据包中出现的一个陌生字段，通过burp查看得知是base64编码之后的数据，而且解码之后发现与我们输入的数据没有差别

然后我们配置到payload

引用附件字典，然后依照上面数据包的格式给字典添加前缀和base64编码，爆破

注意一定要把这个√给去掉不然会发生编码，答案会出错

然后开始攻击就可以得到一个200响应的数据包，查看响应包得到flag

响应包源代码

特别简单，我一开始还以为也要用到burp抓包查看，结果是查看源代码，我不知道burp能不能查看源码

但是浏览器自带的开发者工具就可以

或者ctrl+U查看网页源码也行，没有做任何隐藏，是直接展示在源码中