一、题目描述与分析
由题意,何为弱口令,指的是通常认为容易被别人(他们有可能对你很了解)猜测到或破解工具的口令均为弱口令。这里我们可以尝试暴力破解
二、解题过程
1.登入题目页面,如图
猜测需要提供2.用户名和密码,才能拿到flag,猜测用户名为admin
2.利用Burpsuite抓包
注意到
name=admin&password=123456&referer=下面进行暴力破解
三.暴力破解
右键-->Send to intruder-->Intruder模块-->Positons选中爆破区域-->Payloads设置密码字典(这里选择常见的弱口令密码即可)-->start attack-->找到Length不一样的-->查看Response
成功拿到flag√
三、题后反思
1.这l题很简单,知道怎么使用Burpsuite暴力破解模块即可.
2.暴力破解密码时默认了用户名为admin,其实这不太严谨,纯属自己猜测。这里就涉及到Burpsuite暴力破解的四种模式了,具体学习链接点击这里,查看writeup.