攻防世界-web-新手练习区-weak_auth

题目意思是破解密码。

1，随便输入用户名，密码，点击login，页面弹窗提示使用admin作为用户名登录。

2，打开burpsuite，chrome浏览器打开代理设置，抓包，将提交用户名/密码的post消息发送至intruder模块，

设置username和password为爆破参数，添加admin 123456为payloads，点击start attack进行爆破。

3，从results中观察length不一致的消息，查看，可以得到flag。