打开靶机,只有用户名密码界面
首先f12,当然啥有用的都没有,这时候本萌新开始懵逼了,结合题目brute学习一下怎么爆破
这里参考BUUCTF Brute 1使用BurpSuite爆破详解_bill_fang的博客-CSDN博客师傅的文章,根据随便输的账号密码提示“用户名错误”,尝试先爆破用户名再爆破密码,这里爆破字典选择了GitHub - arthur0081/Blasting_dictionary: 爆破字典
打开Burp Suite结合FoxyProxy抓包
用户名密码都是明文传输,直接Send to Intruder
(题外话,我的burpsuite一开始显示中文会出现方块乱码,找了一下解决方法,顺便知道了字号怎么改:Burp->Settings->User interface->Message editor->HTTP message display->Font改成DialogInput,字号在Size选)
标绿的两段字符串是爆破点,可以在右边ADD §和Clear §修改
爆破用户名,Payload type选Simple list,下面Payload Options->Load ...载入爆破字典,拉到最下Payload Encoding把勾去掉,右上Start attack开始爆破
Length排序,找到与众不同的一个长度,查看Response发现用户名正确
接着爆破密码,可以在Payload type把Simple list改成Numbers,也可以继续用Simple list载入0000~9999的字典,操作同上,找到密码查看Response得到flag
(爆破速度是真滴慢,一秒10条左右)文章来源:https://www.toymoban.com/news/detail-698706.html
有群佬说写爬虫可以快速爆破,先马一个文章来源地址https://www.toymoban.com/news/detail-698706.html
到了这里,关于BUU BRUTE 1(burpsuite爆破初学)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
