个人感觉这题很ok,教授了我们一个bp的使用小技巧,再现在的比赛中直接使用爆破密码看回显和长度基本是看不出来了,因为会有一段代码进行响应即你密码是否正确都会告知,因此再爆破的板块中都能看到200而非有较大发区别,所以我们可以根据响应的代码加入一些东西,来达到获取密码的目的;
首先题目提示top1000密码本,所以下载一个,因为使用到了密码本不难猜出这题的考点是密码爆破;
点击提交使用bp抓包发送到intruder模块当中,选择top1000字典,在options模块中需要做一步
加入{code:'bugku10000'}加入后爆破看这一栏即可知道密码
获得密码是zxc123
输入点击提交获得flag