burpsuite暴力破解用戶名小記

起因

一張圖,你懂的

抓包

本來以為通過修改“用戶名”就可以簡單的搞定一切,沒想到


居然是302,跳回登錄頁。

分析

估計后端對前端傳入的參數(shù)進行了校驗,于是仔細觀察了下另外領(lǐng)個參數(shù),一個是ts,一個是enc,ts一看就知道是時間戳,enc疑似md5,但不知道怎么來。

  • 嘗試修改了ts的值,響應(yīng)還是302。
  • 嘗試破解enc,md5解密,無果。

沒辦法了,只能看一下前端js,尋找enc,終于,,,


看了下代碼,就是將強兩個參數(shù)拼接后md5生成的結(jié)果:loginName=admin&ts=1531986633681。于是用eclipse生成了一個enc,修改相應(yīng)的參數(shù),果然返回了正常結(jié)果。

最后

在網(wǎng)上下載了一波用戶名字典,爆破后最終只撞中幾個用戶名,有點坑。


?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容