打开bp进行抓包

域名解析即需要修改host文件，我们可以通过抓到的包，修改第二行的host为flag.baidu.com

即可成功获得flag

打开网站，发现是不停刷新的页面

继续使用我们的bp尝试抓包，从相应包中可以获得flag。wp中说是需要一直go十几次才会出现flag。可能运气比较好，第一次go就出来了。

php的代码审计。

代码中正则表达式：/^开始, \w表示任意一个单词字符，即[a-zA-Z0-9_] ,+将前面的字符匹配一次或多次，$/结尾。

本题还需要明白一个知识点：可变变量
可变变量是一种独特的变量，它允许动态改变一个变量名称。其原理是变量的名称由另外一个变量的值来确定，即一个可变变量获取了一个普通变量的值作为这个可变变量的变量名，实现过程是在变量前面多加美元符号 “$”

由于PHP中$GLOBALS[index] 的数组中存储了所有全局变量。所以我们可以构造payload
http://123.206.87.240:8004/index1.php?args=GLOBALS
获得flag。

参考链接：https://blog.csdn.net/weixin_43578492/article/details/94844543

打开链接后发现随便输入什么都是显示“在好好看看”。

右键查看源代码

看起来像是jsfuck编码，放到控制台中跑一下，成功跑出flag

参考链接：https://blog.csdn.net/fjh1997/article/details/105323651

点开链接，发现什么都没有。右键查看源码也没有有用的东西。尝试利用bp抓包

flag藏在响应包的头里（太狗了）。

点击链接，出现一个炫酷的界面

网址中有个webshell，猜测被种马了，扫描目录

发现有个shell.php，进去看看
利用bp自带的字典尝试爆破。

爆出密码为hack，进行登录，即可获得flag

随便输入账号密码后显示ip禁止访问

被ban ip的话要想到X-Forward-For
抓包修改XFF 为127.0.0.1，构造为本地登录
发现回显产生变化，构造有效果，现在就差正确的密码。
查看源代码后发现最后一行有个base64的编码 拿去解码为test123，怀疑为密码。

修改账号为admin 密码为test123，成功获得flag

发现一堆url编码 解码得出js源码 整理得

 - function checkSubmit()
 - {
 - 	var a=document.getElementById("password");
 - 	if("undefined"!=typeof a)
 - 	{	if("67d709b2b54aa2aa648cf6e87a7114f1"==a.value)
 - 			return!0;
 - 		alert("Error");
 - 		a.focus();
 - 		return!1
 - 	}
 - }
 - document.getElementById("levelQuest").onsubmit=checkSubmit;

输入67d709b2b54aa2aa648cf6e87a7114f1即可获得flag

点击后出现file= ，怀疑存在文件包含漏洞，题目说flag在index中，直接利用利用伪协议读取index。

php伪协议：https://www.php.net/manual/zh/wrappers.php.php

php:// 　　　　是一种协议名称
php://filter/ 　　是一种访问本地文件的协议
/read=convert.base64-encode/　　表示读取的方式是base64编码后
resource=index.php　　表示目标文件为index.php

将得到的base64编码拿去解码得到flag

直截了当说明5位密码，直接放入bp爆破

踩坑：如果burp intruder爆破出现 Payload set 1: Invalid number settings
先点击hex再点击decimal（软件bug）

成功爆出密码为13579

登录即可获得flag