攻防世界web高手进阶区-ics-06

今天借着这道web题顺便学会了利用burpsuite进行爆破

先摆题目

打开题目环境，发现是一个工程管理系统，根据题目找到报表中心，点进去

 

 好像没什么收获，F12看一下，发现id =1，试了一下id=2,3,4……都没用，好尴尬。。既然人工不行，那就只能用工具爆破了。。。

百度了一下怎么爆破，发现可以用burpsuite进行爆破，burpsuite还真的是很香呢Orz

 

 

 

想爆破，得有字典，我用的0~5000，用Python脚本跑出来的直接粘进去

 

 

start attack

 

 

发现当id=2333时，length不同，这应该就是问题所在，点开下面response，最下面就有flag

 

 这题暂时就这么草率的结束了。。不过还是学到了一点东西