bilibili2020 1024ctf安全挑战赛（上）

答题地址：http://45.113.201.36/start.html
flag为动态，每人都不一样，在此只提供思路
第一题：
直接F12查看源码

找到flag： b0e5f3f3-321b5688-c05c2a64-e2bb4b6f

第二题：
还是这个页面，我们要把user-agent修改为bilibili Security Browser

由于hackbar需要付费。所以我们在火狐浏览器上使用HackBar V2插件

修改user-agent

Execute运行后，在源码里发现flag可能存在的url:“api/ctf/2”

输入网址得到flag: 8cd4fc0c-063cba05-0ca507c3-d1c28a84

第三题：
看题目是输入账号密码

聪明的你一定想到了是弱口令**，于是直接burpsuite一顿梭，结果字典跑完都没出来。。太草了，直接上答案
账号：admin
密码：bilibili
直呼内行 得到flag

第四题：
只有超级管理员才能看见

超级管理员的英语是Administrator ，加密成32位的md5：7b7bc2512ee1fedcd76bdc68926d4f7b ，然后替换cookie里面的role值

修改后 repeater 发送

或者在hackbar里面修改也行 真香！

输入网址 找到flag： 3f6ee453-895f4488-77f9dcfa-9299ff97

第五题：
直接F12 发现要进入api/ctf/5?uid=10336889

然后啥都没有 扑街 burpsuite梭一下，换uid ，我只换了后4位

得到flag： dcff0b12-4900e46c-82974754-3bbb43fa

后面的暂时还不会写。再更