buuctf-[MRCTF2020]PYWebsite

打开环境,这题花里胡哨的

下面让你buy flag

付钱得到授权码,有点无脑

然后我就去看源代码了

主要关注到这一段代码

复制代码
 function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (code != ""){
        if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
          alert("您通过了验证!");
          window.location = "./flag.php"
        }else{
          alert("你的授权码不正确!");
        }
      }else{
        alert("请输入授权码");
      }
      
    }

我当时还想去md5碰撞,把这个code解出来

but 很无语没出来

还搜了很多有关这个前端加密的,没啥用

然后又看了看代码,看到flag.php,访问了下

我自己。。仔细研读,就去抓包了

加个http请求,因为他说是他自己

X-Forwarded-For: 127.0.0.1

相关推荐
zhangrelay2 小时前
消费电子原装锂电池服役8–20年且健康度>40%公开实测案例完整调研分析报告
笔记·学习
tyqtyq222 小时前
HarmonyOS AI 应用开发实战:简历项目经历改写系统
人工智能·学习·华为·生活·harmonyos
bush45 小时前
正点原子imx6ull-uboot,奇怪的问题
linux·学习
念雨思5 小时前
HarmonyOS AI 应用开发实战:短视频选题灵感 —— AI 驱动的内容创作引擎
人工智能·学习·华为·harmonyos·鸿蒙
2601_959383247 小时前
休学干预的“信任难题”,坤和静界·春藤计划怎么尝试破局
学习
tyqtyq229 小时前
HarmonyOS AI 应用开发实战:考研择校分析系统
人工智能·学习·考研·华为·生活·harmonyos
光影6279 小时前
MySQL基础入门
数据库·笔记·sql·学习·mysql·学习方法
海兰9 小时前
【实用程序】网页公开信息智能采集系统详细设计指南
人工智能·学习·自动化·采集信息
MartinYeung59 小时前
[论文学习]AgentDAM:自主Web Agent的隐私泄露评估
学习
光影62710 小时前
MySQL 进阶篇 —— 事务 / 外键 / 索引 / 高级查询
数据库·笔记·sql·学习·mysql