BUUXSSCOURSE1启动靶机，发现就一个吐槽框，尝试xss语句aLErT(1) 访问一下这个地址，发现并没有弹窗，感觉是把script过滤了，那我们尝试植入img图像标签 访问一下给的地址看来是可以进行xss攻击，打开xss平台，找一个关于img标签的语句 把标灰的字段复制到吐槽框中，提交  访问一下给的地址，刷新一下，发现浏览器左下角有关于xss平台的网络请求，刷新一下xss平台复制标灰的cookie，并访问一下右侧的/backend/admin.php 打开editthiscookie浏览器插件（firefox） 在地址栏输入PHPSESSID，在值栏粘贴之前复制的cookie，点击

打开靶机，只有用户名密码界面 首先f12，当然啥有用的都没有，这时候本萌新开始懵逼了，结合题目brute学习一下怎么爆破这里参考BUUCTFBrute1使用BurpSuite爆破详解_bill_fang的博客-CSDN博客师傅的文章，根据随便输的账号密码提示“用户名错误”，尝试先爆破用户名再爆破密码，这里爆破字典选择了GitHub-arthur0081/Blasting_dictionary:爆破字典打开BurpSuite结合FoxyProxy抓包  用户名密码都是明文传输，直接SendtoIntruder（题外话，我的burpsuite一开始显示中文会出现方块乱码，找了一下解决方法，顺便知道