看题一看就知道估计得爆破,烦躁!!!
打开页面后出现,点击click
输入admin与admin
通过burp抓包发现是通过base64编码了
我一开始憨批了,没看到有个附件自己去搞了个字典没爆出来,记得下载附件将请求发送给测试器
下一步
点击导入字典
但是发现前面没有admin:
写了个python来组合
import base64
with open(10_million_password_list_top_100.txt, r+) as f
for line in f.readlines()
line = line.strip('n')
line = 'admin' + line
print(line)
line1 = base64.b64encode(line.encode('utf-8'))
with open(final.txt, a+) as res
res.write(str(line1, 'utf-8') + 'n'); 再次导入字典
点击Attack开始攻击,发现个长度不一样的