30SRC平台账户是ununun
昨天做的第一题是worst passwords of 2017,
百度搜索只能搜到一部分新闻中2017年的弱密码,搜了半天前100位弱密码都是通过图片的形式展示,人工一个个试不现实,txt文本形式的又搜不到,那没办法只好说是去翻墙搜搜看。
(翻墙搜东西是真的方便)随便一下子就搜到了前500的弱口令,整理在txt文件中,之后就试着去摘flag。
用burp!
图片.png
在intruder模块里先清除§,然后在password里加入§
图片.png
添加payloads(字典),点击start attack开始跑字典
图片.png
可以看出amanda 的相应长度与其它的pyload都不同,可以猜测该密码为登录密码
图片.png
摘到flag
图片.png
网友评论