攻防世界WEB新手区5、6

1.disabled_button

• 题目来源： Cyberpeace-n3k0

• 题目描述：X老师今天上课讲了前端知识，然后给了大家一个不能按的按钮，小宁惊奇地发现这个按钮按不下去，到底怎么才能按下去呢？

• 分析:

(1)登入环境

真的是一个不能按的按钮

（2）打开源码

看来是这行代码起的作用，那么就要去修改掉这行代码。

（3）修改网页源代码

a.使用开发者工具进行修改（注意：通过开发者工具的element修改页面源码只对页面的布局(html)有效，对js代码无效。）

把disable改为able，再点击按钮，便可得flag

b.使用记事本或其他文本编辑器进行修改

ctrl+s另存网页

用记事本打开，并对源代码进行修改

同样的把disabled改成abled后保存，然后在用浏览器打开，按下按钮得到falg

2.weak_auth

• 题目来源： Cyberpeace-n3k0

• 题目描述：小宁写了一个登陆验证页面，随手就设了一个密码。

• 分析

（1）打开网页

先看看源码，好像没有什么有价值的东西

再尝试登入一下

回显出了用户名，那么只有密码不知道了，接下来就是使用神器burp suite的时候了

打开对应网页，发送到测试器，打开positions由于我们已知用户名，于是把里面的内容改成图像中形式

打开payload，选择自己已有的字典或软件自带的字典，然后开始攻击（只要你的字典足够强大，没有爆破不出来的密码。）

爆破完后，根据长度排序得到密码

用账号密码登入后得到flag

• ps：

1.burp suite的安装教程https://www.sqlsec.com/2020/10/winbp.html

2.burp suite的使用教程https://blog.csdn.net/weixin_44717303/article/details/116563330