打开题目网页,看到以下提示,我们可以知道账号是Syclover,密码是6位数字,前三位是774,暗示我们可以利用爆破。
打开题目,发现是一个登录页面,于是启动burp,开启Proxy中的interceptison on,在网页中输入用户名Syclover,密码可以输入774001,生成抓包数据。
发现密码不是明文,于是查看网页源代码,发现是md5加密。
于是右键执行"send to repeater","send to intruder",然后进入intruder,打开positions,执行clear,然后选中“2da3b4dc2a6454eb69a52c2af942f46e”,执行add。
然后设置payloads,参数如下:
因为是MD5加密,再设置payload processing,单击add,设置规则如下:
设置结束,就可以开始爆破了,执行右上角的start attack,最终得到如下结果:
将得到的密码复制到proxy中,对密码进行替换。
执行send命令,得到flag.
本题主要练习对于加密密码的爆破,重点要知道是采用什么方式加密,如何对bp中的intruder进行设置。
网友评论