Hello there, ('ω')ノ

 

前回、SQLインジェクションでログインに成功した後で。

アカウント情報を見ることに。

 

 

すると、メールアドレスから管理者らしく。

 

 

一旦、ログアウトして下記でログインすることに。

　admin@juice-sh.op

　12345

 

 

Burp Suiteでリクエストをキャッチして、Intruderを選択して。

 

 

パスワードのパラメータのみを追加して。

 

 

Burp Suiteのパスワードリストでブルートフォース攻撃をしてみると。

 

 

シンプルなパスワードなはずだが見つけられず。

 

 

仕方ないので、下記よりパスワードリストをダウンロードして。

https://gist.github.com/PeterStaev/e707c22307537faeca7bb0893fdc18b7#file-passworddictionary-txt

 

 

ダウンロードしたパスワードリストで再度、攻撃を仕掛けると見つかって。

　admin123

 

 

クリアできた。

 

 

Best regards, (^^ゞ