根据题目提示,要用top1000密码
爆破结果如下
结果均为908,则猜想正确结果与错误结果的length一样,则选择其他参考标准,通过观察响应包里面的内容,我们发现错误包里面都会返回一个JavaScript代码告知我们的密码有错误。因此我们通过Burpsuite的 (Grep – Match 在响应中找出存在指定的内容的一项。)过滤掉存在JavaScript代码中的{code: ‘bugku10000’}的数据包。
添加如图内容,继续爆破
发现可疑点
输入该密码,得到flag。
根据题目提示,要用top1000密码
爆破结果如下
结果均为908,则猜想正确结果与错误结果的length一样,则选择其他参考标准,通过观察响应包里面的内容,我们发现错误包里面都会返回一个JavaScript代码告知我们的密码有错误。因此我们通过Burpsuite的 (Grep – Match 在响应中找出存在指定的内容的一项。)过滤掉存在JavaScript代码中的{code: ‘bugku10000’}的数据包。
添加如图内容,继续爆破
发现可疑点
输入该密码,得到flag。