爆破

web21:

打開burp進行抓包

通過對密碼進行解析。得知密碼是由拼接而來 admin:1

選擇要攻擊的參數 攻擊方式。

選擇payload方式 。。添加參數 1，2，3。賬號 分隔符 密碼



選擇加密方式。添加buse64.去掉url字符。不然buse64后，會在url加密過一次，從而導致攻擊不成功

進行攻擊。獲取賬號 密碼



web22: 域名爆破 失效

**web23:**代碼爆破

<?php
error_reporting(0);include('flag.php');
if(isset($_GET['token'])){$token = md5($_GET['token']);if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===