题目描述

通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。

Solution

打开页面,是一个管理登陆后台:

1.png

我们尝试用admin:123456登陆页面,没登进去。把请求包发送到 Intruder,使用 Sinper 方式对password进行穷举:

2.png

Payload 则从文件里载入网上下载好的 Top1000 密码字典,点击 Start attack 开始攻击:

3.png

穷举完后,对响应包的长度进行排序,选取第一个,用 render 渲染器查看响应包的内容,即可找到 Flag:

4.png