前言：
最近做了幾個bugku的web題，感覺挺有意思的，學到了不少東西；順便總結下。（=￣ω￣=）

---

1、你必須讓他停下：

打開鏈接，發現有個一直在閃的頁面，時不時還會出現張圖片；這是用了 js的setTimeout函數，只需在設置中禁用js,然后手動刷新界面直到出現圖片，然后再查看源代碼flag就會flag出來了。

• 谷歌游覽器關閉JavaScrip：設置→高級→隱私設置→網站設置，找到并關閉。
  
  還有就是可以用抓包工具（burp），Send to Repeater,然后多點幾次send，就能得到flag了。
  

2、web5 :
打開鏈接，是一個表單提交頁面，無論你輸入什么，都會給你提示：再好好看看（還是錯別字2333…），右鍵查看下源碼：

百度發現是jother編碼。然后將它復制粘貼到console中回車，出現了flag

提交

看下格式，應該是大寫

退出去提交，成功。

3、頭等艙

打開發現什么也沒有…，查看源碼也啥也沒有。沒什么好說的了，抓包！
Send to repeater →send發包
得到flag。

4、網站被黑

如題所說，這題沒什么技術含量，但實戰中經常用到；打開：

這個頁面挺好玩，感覺前端好NB。
直接御劍掃描下

得到兩個鏈接，打開后綴為shell.php的

接下來就去爆破密碼，使用的工具是Burp（想要的同學可以私信我）
在shell.php里隨便輸入一個密碼，抓包，設置變量

Add from list 那選為password 這是一個burp pro里自帶的一個字典

點擊Start attack 開始爆破。
第一個即為密碼，輸入密碼得到flag

5、管理員系統

打開鏈接，是一個表單提交頁面：

發現我無論輸入什么，都會得到一句反饋：IP禁止訪問，請聯系本地管理員登陸，IP已被記錄.
查看源碼，在最后一行發現一串編碼：<!-- dGVzdDEyMw== --> 一看就是base64編碼，解碼得到：test123，這里盲猜usename為：admin ，將test123作為密碼，
根據“IP禁止訪問，請聯系本地管理員登陸，IP已被記錄.”這句得到新思路：偽裝成本地訪問：
　　抓包；改包：Headers中增添一對鍵值對：X-Forwarded-For : 127.0.0.1
　　得到flag
　　

總結

以上是生活随笔為你收集整理的Bugku—web（一）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。