bugku 杂项 账号被盗了

1.访问网站

2.提示你不是admin我们使用burp进行抓包

3.显示为false假的我们改成真试试ture

4.得到一个地址我们进行访问,下载了个这东西我就不会了

翻墙才找到了大神的writeup:原来wireshark抓包

5.随便填写账号密码抓包,筛选tcp流追踪一下

6.LOGIN下方是明显的BASE64编码,解码发现是一个163邮箱,获取账号密码,登陆后获取flag


总结:这题让我对杂项题有了新的思路,不再局限于单一线路解题。

你可能感兴趣的:(bugku 杂项 账号被盗了)