[MRCTF2020]PYWebsite

最新推荐文章于 2024-03-15 09:02:56 发布
最新推荐文章于 2024-03-15 09:02:56 发布
阅读量407 收藏 1
点赞数
文章标签: javascript java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63253040/article/details/127023520
版权 
 

 扫码购买flag
 

 

 得到hint,查看源代码
 

    function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (code != ""){
        if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
          alert("您通过了验证!");
          window.location = "./flag.php"
        }else{
          alert("你的授权码不正确!");
        }
      }else{
        alert("请输入授权码");
      }
      
    }

 

意思是我们输入的授权码md5加密后如果和0cd4.....比较弱相等则可以得到flag
 

暂时没思路去看下flag.php
 

 

 意思是他自己和购买者的ip进入网站就可以看见flag,我们不知道购买者的ip,但是我们可以知道他的ip肯定是本地127.0.0.1,所以构造xff伪造本地ip查看flag.php
 

 

 
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


                

        

        

    




    

      

        

            

              
                
                  白塔河冲浪手
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
python-website:基本的python网站,适用于常识

				
			

			

				

					02-26
				

			

		

		

			
				
python-website:基本的python网站,适用于常识

			
		

	



                

              
                



	

		

			

				
					
[MRCTF2020]PYWebsite -wp

				
			

			

				

					freerats的博客
				

				

					08-04
					
					1337
					
				

			

		

		

			
				
查看源码

发现一段前段验证,然后发现在目录下有一个flag.php
提示验证在后端,所以前面那个前端验证没用(也正常,前端验证都可以直接修改)
购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。
bp抓包

发现xff可以直接获得flag

...

			
		

	



                


  
              

                


	

		

			

				
					
BUUCTF [MRCTF2020] PYWebsite

				
			

			

				

					Senimo
				

				

					01-05
					
					501
					
				

			

		

		

			
				
[MRCTF2020]PYWebsite
考点:
1.
启动环境:

提示需要购买flag,首先对题目进行信息收集,查看网页源码时,发现:
<script>

    function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (c

			
		

	





	

		

			

				
					
[MRCTF2020]PYWebsite (ip

				
			

			

				

					shannidawang的博客
				

				

					09-08
					
					86
					
				

			

		

		

			
				
查看源码
    function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (code != ""){
        if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
    

			
		

	



		

			
		



	

		

			

				
					
buuctf-PYWebsite

				
			

			

				

					m0_62094846的博客
				

				

					05-14
					
					289
					
				

			

		

		

			
				
东西很多,能操作的只有BUY IT NOW 和输入授权码这里



说要付款,我还真就扫了一下





又试了下对授权码输入一些代码,也没用

再重新看一遍源代码,才发现有东西,之前只注意了开头和结尾




    function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById...

			
		

	





	

		

			

				
					
buuctf-[MRCTF2020]PYWebsite(小宇特详解)

				
			

			

				

					小宇的web博客
				

				

					03-09
					
					6215
					
				

			

		

		

			
				
buuctf-[MRCTF2020]PYWebsite(小宇特详解)
1.先看一下题目,这里说flag需要购买,先尝试去购买。


2.购买页面

我在这里实在没有忍住,我去扫描了一下,果然不是这种办法去实现。

这里我用了QR Research去扫描这个二维码

果然突破口不在这里
3.他说是从页面代码入手,这里去开始的页面去查看一下源代码


    function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    

			
		

	





	

		

			

				
					
xff伪造 [MRCTF2020]PYWebsite1

					
最新发布

				
			

			

				

					m0_75178803的博客
				

				

					03-15
					
					510
					
				

			

		

		

			
				
看源代码验证通过会访问/flag.php这个页面。那就bp抓包,伪造xff头。

			
		

	





	

		

			

				
					
PyPI 官网下载 | pywebsite-0.1.7pre.tar.gz

				
			

			

				

					01-15
				

			

		

		

			
				
资源来自pypi官网。
资源全名:pywebsite-0.1.7pre.tar.gz

			
		

	





	

		

			

				
					
vigenere-cipher:Vigenere密码

				
			

			

				

					03-19
				

			

		

		

			
				
虚拟密码
vigenere密码是一种利用密钥的加密和解密方法。它由重复26行/列的字母表组成,但是第一个字母被推到字母表的末尾,并且一直持续到z是第25行中的第一个字母为止。然后,程序将密钥用于行,将消息加密用于列。字母匹配,并显示加密的消息。标点和空格保持不变。

			
		

	





	

		

			

				
					
采区含断层工作面冲击失稳预测

				
			

			

				

					04-19
				

			

		

		

			
				
本文以矿井西二采区某一工作面为工程背景,根据数值模拟峰前扰动时断层面应力、位移分叉趋势对断层冲击地压危险区域进行了初步划分,通过现场电磁辐射监测结果分析可知:预测的预警距离是工作面距断层35m时应当采取加强...

			
		

	





	

		

			

				
					
CTF 逆向练习-Transform

				
			

			

				

					06-10
				

			

		

		

			
				
该资源配合博客使用,博客我还没写。 有空我会在哔哩哔哩录制教程。

			
		

	





	

		

			

				
					
向前欧拉法matlab代码-zbc-ops:我的GitHub个人资料的配置文件

				
			

			

				

					05-20
				

			

		

		

			
				
1.mrctf[friendly_sign-in] 意思就是服务器产生一个数组$N$,需要输入一个数组$X$与其对应位置乘积和为$0$,题目说$N$中全为素数,实际好像不是,因为产生这么多素数比较耗时间,但里面还是大部分都是素数。这里可以...

			
		

	





	

		

			

				
					
Python Web环境搭建

				
			

			

				

					weixin_58546893的博客
				

				

					04-11
					
					6676
					
				

			

		

		

			
				
Python Web环境搭建
文章目录前言一、VS Code 下载和安装1.下载网址2.Vs Code基本配置2.1Vs Code的汉化2.2 Python Web 项目用到的插件二、使用步骤1.引入库2.读入数据总结

前言
Web=Web application(网络应用)!=Website(网站)

一、VS Code 下载和安装
1.下载网址
官网:https://code.visualstudio.com/
百度网盘:https://pan.baidu.com/s/1xk2AU3wu_KvXASS

			
		

	





	

		

			

				
					
Django 的安装和基础使用

				
			

			

				

					AI悦创·编程私教1v1
				

				

					03-04
					
					2214
					
				

			

		

		

			
				
Python 做 web 开发,非常的方便和快捷,这个优势,得益于 Python 的两个框架,一个 Flask ,一个 Django 。
Flask 小,微框架,只含有核心组件,其他的内容,都需要找库或者自行开发,适用进阶学习,以及高手使用,完全按着自己的思路,来使用 flask 搭建网站。
Django 大而全,开发迅速,组件完整,可以快速的搭建一个站起来,但是必须要安装Django的思路来搭建,所以适合新手学习。

Django 与 Flask
个人观点:
django 和 flask 是两种完全不同风

			
		

	





	

		

			

				
					
web buuctf [MRCTF2020]PYWebsite

				
			

			

				

					weixin_44214568的博客
				

				

					04-07
					
					2348
					
				

			

		

		

			
				
知识点:XFF漏洞

1.查看源代码



存在flag.php文件,放入url中查看



2.和ip有关,后端验证

抓包,添加X-Forwarded-For=127.0.0.1,伪装访问ip为本地主机



flag{99bd7d0f-62f2-4631-b688-31433132a466}




			
		

	





	

		

			

				
					
2021-04-06,[MRCTF2020]PYWebsite,[MRCTF2020]pyFlag

				
			

			

				

					探针一号的博客
				

				

					04-07
					
					520
					
				

			

		

		

			
				
1



			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值