这是一道WEB爆破题


可以看到 url地址栏有“uid=”这就引起了我的注意,一看就是base64编码,进行base64解码得到编号:

貌似得到了规律,将T_1替换base64编码,重新载入地址,得到下图:

得到了规律,也就是5000个页面是指T_1,2,3,4,5…5000,开始进行爆破。首先用burp suite进行抓包。send to intruder

由于此次爆破是只针对一个变量进行爆破,不涉及爆破用户名,所以选择sniper模式。将VF8x添加,作为爆破点,

在payloads设置爆破规则,(由于尝试将T_1,2,3,4作为爆破点失败,这次尝试将T_1,2,3,4进行base64编码后爆破的方式,那么首先需要获得T_1-T_5000的数据,这里进行代码编写,获得数据


规则选择自定义模式,将5000数据分为10组,依次录入,进行爆破


最后得到爆破结果
得到key

1万+

被折叠的 条评论
为什么被折叠?



