看題一看就知道估計得爆破,煩躁!!!
打開頁面後出現,點選click
輸入admin與admin
通過burp抓包發現是通過base64編碼了
我一開始憨批了,沒看到有個附件自己去搞了個字典沒爆出來,記得下載下傳附件将請求發送給測試器
下一步
點選導入字典
但是發現前面沒有admin:
寫了個python來組合
import base64
with open(10_million_password_list_top_100.txt, r+) as f
for line in f.readlines()
line = line.strip('n')
line = 'admin' + line
print(line)
line1 = base64.b64encode(line.encode('utf-8'))
with open(final.txt, a+) as res
res.write(str(line1, 'utf-8') + 'n'); 再次導入字典
點選Attack開始攻擊,發現個長度不一樣的