buuctf-[MRCTF2020]PYWebsite

打开环境,这题花里胡哨的

下面让你buy flag

付钱得到授权码,有点无脑

然后我就去看源代码了

主要关注到这一段代码

复制代码
 function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (code != ""){
        if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
          alert("您通过了验证!");
          window.location = "./flag.php"
        }else{
          alert("你的授权码不正确!");
        }
      }else{
        alert("请输入授权码");
      }
      
    }

我当时还想去md5碰撞,把这个code解出来

but 很无语没出来

还搜了很多有关这个前端加密的,没啥用

然后又看了看代码,看到flag.php,访问了下

我自己。。仔细研读,就去抓包了

加个http请求,因为他说是他自己

X-Forwarded-For: 127.0.0.1

相关推荐
寒月小酒3 小时前
第三章 索引构建(2-all -in-rag学习)
学习
天国梦3 小时前
中学生居家英语听力训练深度解析:从核心痛点到AI赋能的全链路方案
人工智能·学习
胡渠洋7 小时前
postman学习
学习·测试工具·postman
Amazing_Cacao8 小时前
CFCA精品可可产区风土解析(美洲):无情打破风味堆叠假象,建立时间轴上的层次动态阅读系统
学习
六点_dn9 小时前
Linux学习笔记-shell运算符
linux·笔记·学习
其实防守也摸鱼9 小时前
渗透--损坏的对象级别鉴权漏洞(Broken Object Level Authorization, BOLA)
大数据·网络·数据库·学习·tcp/ip·安全·安全威胁分析
念雨思9 小时前
信用卡权益对比:基于HarmonyOS + ArkTS的AI智能金融助手开发实践
人工智能·学习·华为·金融·harmonyos·鸿蒙
铅笔侠_小龙虾9 小时前
Rust 学习(2)-变量、常量与 shadowing
学习·算法·rust
it小生01019 小时前
从底层思维到高效行动,顶尖人才进阶核心修炼指南
学习·学习方法
恣逍信点10 小时前
《凌微经》通俗解读——哲学第一因
学习·职场和发展·创业创新·学习方法·业界资讯·交友·哲学