bugku web bp

因为确定了账号,所以只用爆破密码,抓包爆破一条龙,弱口令top1000来自
https://gitee.com/XiuMulty/PasswordDic/repository/archive/master.zip

bugku web bp
bugku web bp
爆破完了以后发现所有报文长度都是一样的
使用burp suite里的options选项卡找到Grep-Match(在响应中找出存在指定的内容的一项。)筛选出唯一没有提示的一篇报文
bugku web bp
复制密码到网页就出flag
bugku web bp
相比于一般的bp爆破题,这题要学的就是当报文长度都相同而不再作为筛选条件时,如何使用bp中的过滤功能筛选出我们需要的报文。另外还收获了一个常用密码top1000.

上一篇:bugku web login1


下一篇:Bugku,Misc:隐写