暴力破解-高
使用Burp Suite抓包,发现多了一个令牌参数
再次请求,发现令牌改变了。选择拦截此次请求的响应,然后发送请求。
查看拦截到的响应,发现令牌位于一个隐藏的input的标签中。那么攻击思路为:遍历用户名、密码、令牌,令牌来自于前一次响应的提取。其初始值和cookie需要 抓包查看
跑出用户名密码为admin,password
使用Burp Suite抓包,发现多了一个令牌参数
再次请求,发现令牌改变了。选择拦截此次请求的响应,然后发送请求。
查看拦截到的响应,发现令牌位于一个隐藏的input的标签中。那么攻击思路为:遍历用户名、密码、令牌,令牌来自于前一次响应的提取。其初始值和cookie需要 抓包查看
跑出用户名密码为admin,password