web入门爆破1
首先进入网站发现是要输入账号密码,试着输入账号admin和任意密码使用bp抓包,之后发送响应包查看,发现有一个回应头被base64码加密了,尝试去用base64解码得到admin:123,中间用分号隔开,然后去发送到intruder上,分别选中账号和密码那一栏,之后切换到payload的payload processing处选上Add Prefix加上前缀admin: 和base64-encode,取消payload ending的勾选,最后再去options那里添加ctfshow作为flag查询,最后面开始去爆破,等待后便可得到flag
web入门爆破2
直接寻找软件爆破子域名,之后在vip那个子域名上找到flag