1.根据题目提示:
考点tomcat 认证爆破之custom iterator使用 tomcat 认证爆破之custom iterator使用 - 007NBqaq - 博客园 下载密码字典抓包,通过burpsuite暴力破解
Payload set ---->custom iterator(自定义迭代器)
需要进行base64编码;payload processing 进行编码设置
取消Palyload Encoding编码 因为在进行base64加密的时候在最后可能存在 == 这样就会影响base64 加密的结果
2.我们先随意输入密码,账号一般都是admin,同时进行抓包
3.把它发送到intruder,在要进行爆破的位置标记
payload type选择custom iterator,payload options依次添加admin、:、123456(这个是根据每个人的输入情况而定的),payload processing选择base64编码,将payload encoding取消掉
在选择长度不一样的,我们把它进行base64解码,得到账号和密码:admin,shark63
我们回到登录界面,就得到了flag:ctfshow{b6c93ec8-1d34-4d51-a77f-4e307e259340}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
