攻防世界第六题weak＿auth

这道题要用到的有burp以及burp的内置浏览器

进入这个题目的环境后看到的就是一个登录界面但我们也不知道账号和密码，那就瞎搞一个呗，反正瞎搞又不花钱。

搞完之后看到他提示账号是admin那这道题是用暴力破解，那就大力出奇迹。

开启抓包后输入账号admin密码还是瞎搞，我这里输入的密码是123456789在抓包界面也就能看到我们输入的账号和密码了

要用到暴力破解，所以在action中选择发送到intruder
!

打开intruder中的positions这里因为已经知道账号了所以只需要选择爆破类型就选择sniper就好了。

进入paloads中导入事先准备好的爆破密码本
这里已经知道了账号所以paload set那里就使用默认的值1就好了

点击开始破解（start attack）

会发现在lrngth那一列中有一个特殊的值那个值所对应的密码就是正确的密码

关闭抓包输入正确的账号和密码

点击登录就可以得到flag了