2023年7月31日发(作者:)

CTFHUB刷题密码⼝令弱⼝令⼀、题⽬描述与分析 由题意,何为弱⼝令,指的是通常认为容易被别⼈(他们有可能对你很了解)猜测到或破解⼯具的⼝令均为弱⼝令。这⾥我们可以尝试暴⼒破解⼆、解题过程

1.登⼊题⽬页⾯,如图猜测需要提供2.⽤户名和密码,才能拿到flag,猜测⽤户名为admin2.利⽤Burpsuite抓包

注意到name=admin&password=123456&referer=下⾯进⾏暴⼒破解三.暴⼒破解

右键-->Send to intruder-->Intruder模块-->Positons选中爆破区域-->Payloads设置密码字典(这⾥选择常见的弱⼝令密码即可)-->start attack-->找到Length不⼀样的-->查看Response 成功拿到flag√ 三、题后反思1.这l题很简单,知道怎么使⽤Burpsuite暴⼒破解模块即可.2.暴⼒破解密码时默认了⽤户名为admin,其实这不太严谨,纯属⾃⼰猜测。这⾥就涉及到Burpsuite暴⼒破解的四种模式了,具体学习链接,查看writeup.

2023年7月31日发(作者:)

CTFHUB刷题密码⼝令弱⼝令⼀、题⽬描述与分析 由题意,何为弱⼝令,指的是通常认为容易被别⼈(他们有可能对你很了解)猜测到或破解⼯具的⼝令均为弱⼝令。这⾥我们可以尝试暴⼒破解⼆、解题过程

1.登⼊题⽬页⾯,如图猜测需要提供2.⽤户名和密码,才能拿到flag,猜测⽤户名为admin2.利⽤Burpsuite抓包

注意到name=admin&password=123456&referer=下⾯进⾏暴⼒破解三.暴⼒破解

右键-->Send to intruder-->Intruder模块-->Positons选中爆破区域-->Payloads设置密码字典(这⾥选择常见的弱⼝令密码即可)-->start attack-->找到Length不⼀样的-->查看Response 成功拿到flag√ 三、题后反思1.这l题很简单,知道怎么使⽤Burpsuite暴⼒破解模块即可.2.暴⼒破解密码时默认了⽤户名为admin,其实这不太严谨,纯属⾃⼰猜测。这⾥就涉及到Burpsuite暴⼒破解的四种模式了,具体学习链接,查看writeup.