终于刷到这种题了,做二进制的时候用过python爆破…
用burp suite跑字典还是第一次。
那就从这个简单的字典爆破开始吧。
利用工具:
- burp suite
- Blasting_dictionary-mastergithub字典
爆破环境: - kali linux
正题开始
题目叫做weak_auth,翻译过来就是弱口令爆破
打开是一个登陆界面,username和password都使用admin进行尝试,F12查看网页源码,发现下面有一个提示:你可能需要一个字典。
其实这一题只爆破了一半,因为答案的username就是admin(一般简单的都是这个)。
下面开始抓包过程:
注意,抓包抓的是输入username和password过程的抓包,所以要在这个链接打开之后才能开始进行抓包。
§ § 这个符号框起来的部分表示要进行爆破的部分,这里我们只需要把password=§ admin§框起来就可以,前面的username不用。
在payload的中导入我们实现准备好的字典(字典在工具部分已放出)
点击start attack进行攻击
发现一个Length值不同的,点击查看response
cyberpeace{1d6893355054d92e010b79399279a107}
