被黑掉的站

打开题目告诉我们网站被黑了，有很多的马

看了源码和请求响应都没有有用信息，用dirsearch扫描后台发现一个shell.php和index.php.bak ，一个是shell的登录界面一个是字符串应该是密码字典

直接抓包爆破，先设置好payload

开始爆破，找到正确密码的响应得到flag

flag{8e539a7a46fea05dea18b9b9f9ff6a63}