爆破

web21:

打开burp进行抓包

通过对密码进行解析。得知密码是由拼接而来 admin:1

选择要攻击的参数 攻击方式。

选择payload方式 。。添加参数 1，2，3。账号 分隔符 密码



选择加密方式。添加buse64.去掉url字符。不然buse64后，会在url加密过一次，从而导致攻击不成功

进行攻击。获取账号 密码



web22: 域名爆破 失效

**web23:**代码爆破

<?php
error_reporting(0);include('flag.php');
if(isset($_GET['token'])){$token = md5($_GET['token']);if(substr($token, 1,1)===substr($token, 14,1) && substr($token, 14,1) ===