题目描述处给出提示

进入题目页面如下

发现只有报表中心能进入下一个页面

页面内容：

发现有传参

改变日期也没有变化

更改id数值页面也没有回显

猜测应该有一个特定id对应的页面即为那一处入侵者留下的数据

下面使用burp suite爆破id值

先用burp suite抓包

右键发送到Intruder模块

在id值处添加payload

设置payload

在结果中找到长度不一致的，为2333

在响应中查看，得到flag

---

Intruder 模块

Burp Suite 的 Intruder 模块是一款强大的自动化攻击工具，主要用于对 Web 应用程序进行漏洞扫描和安全测试，可对目标 URL 发起大量请求，通过替换请求中的特定参数来测试各种输入情况，从而发现潜在的安全漏洞

攻击模式

1. Sniper（狙击手）使用单一的有效负载集，依次替换每个标记的参数位置。如果有多个标记位置，会分别对每个位置进行攻击。例如，有两个标记位置，有效负载集有三个值，那么总共会发起 6 次请求。
2. Battering ram（攻城锤）同样使用单一的有效负载集，但会同时替换所有标记的参数位置。每次请求使用相同的有效负载值，因此请求次数等于有效负载集中的值的数量。
3. Pitchfork（草叉）可以使用多个有效负载集，每个标记位置对应一个有效负载集。攻击时，会从每个有效负载集中依次取出一个值，同时替换到对应的标记位置。请求次数取决于最短的有效负载集的长度。
4. Cluster bomb（集束炸弹）使用多个有效负载集，会对所有标记位置的有效负载进行全排列组合。因此，请求次数等于各个有效负载集长度的乘积，这种模式会生成大量的请求，用于全面测试不同参数组合的情况。

1. 密码猜测通过设置常见密码作为有效负载，对登录页面的密码字段进行攻击，尝试找出正确的密码。
2. 参数枚举枚举 URL 参数的可能值，发现隐藏的功能或页面。例如，尝试不同的 ID 参数值，看是否能访问到未公开的页面。
3. 漏洞探测向目标应用程序发送包含已知漏洞利用代码的有效负载，检测应用是否存在相应的漏洞，如 SQL 注入、XSS 等。