渗透测试第一期

        访问网站,Regist是注册网页,Forget Password为忘记密码,题目说手机号码会在需要手机号码的页面中给出

        我们点击Forget Password页面 ctrl+u查看源代码发现一个员工的电话号码 

                 我们在username=admin phone为13388420822,并且在vcode进行4位数的验证码爆破没有成功登录

        寻找其他的思路,我们可以尝试去逻辑里面看看,我们新注册一个账号,在Regist里面账号为1234密码为1111

         我们发现这个可以绑定手机号,同时我们获得了员工的手机号我们写到里面,接着爆破验证码,出乎意料的是点击获取验证码直接获取了验证码

         最后登录账号1234密码1111,js弹出登录成功进入后拿到flag

         浏览器乱码但不影响此题思路