释放双眼,带上耳机,听听看~!
打开题目,只显示了:web28:where is flag?
使用所有方法没有其他发现以后,看一下目录格式为url//0/1/2.txt,其中0和1可以猜测需要爆破目录,
使用burpsuite的Cluster bomb模式
爆破从0-100的数字,先要把1.txt去掉,
设定参数,payload1和payload2分别设置0-100的数字,
爆破查看200状态码的结果,在响应包里面得到flag。
