今天我们继续BUUCTF之Basic 1的第二关卡。
1、老规矩,进入地址BUUCTF在线评测 (buuoj.cn)打开对应靶场进行启动,会看一个页面,就代表启动成功。
首先分析一下,看到这个页面我们就可以得出是爆破的题目,常用于登陆,常规方式就是先随便输入根据提示猜用户名和密码,用户名:admin\root\administrator;密码:123456、111111、adminabc、qwe123\qwer1234等这种的先常试一下,因为实践告诉我懒人都不愿意修改这几个用户名称,哈哈。
2、接下来进行实操,我们先尝试使用admin\123456进行尝试提交看看有啥提示没有。
分析:输入页面没有提示,便是前端没有对用户和密码做任何的限制。
3、提交后看返回结果。
分析:只提示密码错误,没有说用户错误,说们这题看我们是个新人,不想为难我们,也说明是个懒人,好待用户整个root啊,要我们尝试几次,哈哈。
4、接下来就简单了,我们使用抓包工具,只对密码进行爆破就可以了。
点鼠标右键会出来一个列表,发们选择发送Intruder中
为密码添加payload
根据密码提示为4位数值,我们进行设置
接下来就进入了攻击页面,时间会有点长,请耐性等待即可,这个时候可以找个妹子聊聊天,看看手机啥的,实在有new一个就好了么,程序员怎么能没有妹子。
5、经过漫长的等待,终于完事了,查看密码
6、通过拿到的密码去尝试,看看是否正确,看到登陆并且成功拿到了flag
7、把拿到的flag去填写就可以了,到此我们就成功的拿了这个靶场。
总结:平时多了解web相关的漏洞知识,当看到页面,会大概有的有一个解题的思路,才不会手忙脚乱,预祝大家早日参加参加比赛。另外今天是一个好日1024,希望所有的程序员节日快乐。
