ctfshow爆破真题

web21

  1. 打开之后发现有一个登录框,随便输入一个,抓包
  2. 发现用户名和密码是base64加密的
  5. send to intruder开始爆破
  6. 加载题目给的字典,题目给的是后缀,(我也不知道为啥默认的用户名是admin)
  8. 添加前缀,前缀为 admin:
  10. 添加编码
  12. 添加flag前缀,这样会着重看包含此字样的流量包
  14. 找那种状态码很不一样的(至少不是401)
  16. 将选项由请求转为相应包,查看到flag