打开网页
发现是个叠叠乐游戏。
直接F12看一波源代码,没有线索。
只能看网络了。
刷新
没啥特别大的发现。
无奈先去题目的评论区看一波。
发现都提到了sign,不知道啥意思,但是肯定有用。
源代码里有sign的定义
看来sign是分数的base64加密。
那只能先玩一局了。
这里我发现个有意思的现象。
必须达到一定的分数,网络里才会返回信息。
如下图,为25分,没有回执信息。(50分同样没有)
只有达到75分,才会给你返回带有sign信息的返回。
如下图,75分
看到sign后终于知道为什么评论区里都提到sign了。
这结构,明显的base64加密
但是把sign=后边加密部分解码,却得到意义不明的字符。
试了几次,得不到头绪。
先bp抓下包吧。
但还是不明白那加密字符串的解法。
试了一会,心想这不会是分数的加密吧
想了一下,把分数加密一下看看
竟然蒙对了
现在知道sign的加密结构是:zM + (分数的base64加密) + ==
那这就好办了。
之前查的时候,看到有人说flag可能是和分数有关。
必须达到一定的分数才会出flag。
于是直接改了个高分。
不出意外的,拿到flag
不过不过虽然拿到了flag。后来回忆的时候发现自己疏忽了一个地方。
这里其实已经说明了请求头的格式。如果熟练的话应该立刻能明白sign加密,就是分数加密之后拼接起来的。
不过还是学到很多。