第九题:weak_auth
目标:
了解弱口令,掌握爆破方法
Writeup
(1)打开目标网址,发现需要登陆,于是我们输入账号密码信息
(2)于是我们随便输入一个账号密码登陆测试,出现如下所示
(3)看到上图所示,我们使用admin账户进行登陆,密码自己猜一个(这里我猜的是admin)
(4)结果也是失败,但是从结果显示可以看出,我们可以对密码进行爆破
(5)我们查看了check.php的源代码,从中更加确定了我们对password进行爆破的决定
(6)这里我们使用burpsuite进行爆破
提供别人github中的一个字典,当然,你们也可以自己创建一个字典,越强大越好~
https://github.com/rootphantomer/Blasting_dictionary
(7)好了,切入正题,盘它