buuctf-[MRCTF2020]PYWebsite(小宇特详解)

最新推荐文章于 2024-03-31 01:34:13 发布
最新推荐文章于 2024-03-31 01:34:13 发布
阅读量6.2k 收藏 3
点赞数 1
分类专栏: buuctf 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhy18634297976/article/details/123378164
版权

buuctf-[MRCTF2020]PYWebsite(小宇特详解)

1.先看一下题目,这里说flag需要购买,先尝试去购买。


2.购买页面

我在这里实在没有忍住,我去扫描了一下,果然不是这种办法去实现。

这里我用了QR Research去扫描这个二维码

果然突破口不在这里

3.他说是从页面代码入手,这里去开始的页面去查看一下源代码


    function enc(code){
      hash = hex_md5(code);
      return hash;
    }
    function validate(){
      var code = document.getElementById("vcode").value;
      if (code != ""){
        if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
          alert("您通过了验证!");
          window.location = "./flag.php"
        }else{
          alert("你的授权码不正确!");
        }
      }else{
        alert("请输入授权码");
      }
      
    }

这里提示了flag.php

访问得到了一个新的页面

这里又有提示,这里说除了购买者和我自己,没有人可以看到flag

这里想到了利用抓包,然后添加X-Forwarded-For: 127.0.0.1

小宇特详解
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
legend-7drl:2020年7DRL
02-06
【legend-7drl:2020年7DRL】是一个基于PICO-8平台的游戏项目,参与了2020年的7 Day Roguelike Challenge(7DRL)。7DRL挑战是一场全球范围内的游戏开发比赛,参赛者需在7天内独立完成一款Roguelike类型的游戏。...
数据分析全攻略-数据小宇军原创博文精选
05-21
《数据分析全攻略》是数据小宇军精心创作的一系列博文集结,旨在为学习者提供一个全面、系统的数据分析学习路径。这本书涵盖了数据分析的基础知识、核心技能以及实践应用,旨在帮助读者提升数据分析能力,掌握从数据...
[MRCTF2020]PYWebsite
最新发布
wikey 的博客
03-31 322
纳尼,意思是我们的md5传入这个就会是验证通过,同时下面还给了一个目录/flag.php,先访问看看。这句话有点意思,只有两个人的IP可以看到,一个是购买的,一个是它本人–它本人就是127.0.0.1撒。先点一个买试试,发现是真的二维码,我就不去扫了,肯定不是这样出解。那我们XFF文件头伪造IP就行了。
xff伪造 [MRCTF2020]PYWebsite1
m0_75178803的博客
03-15 524
看源代码验证通过会访问/flag.php这个页面。那就bp抓包,伪造xff头。
2021-04-06,[MRCTF2020]PYWebsite,[MRCTF2020]pyFlag
探针一号的博客
04-07 534
1
nic2020-code.github.io
03-25
标题 "nic2020-code.github.io" 暗示这是一个在GitHub上托管的个人或项目网站,可能是一个展示代码、技术分享或者特定项目成果的平台。描述中的 "nic2020-code.github.io" 与标题相同,没有提供额外信息,可能是网页...
小宇远程控制管理软件 2011 bulid 0329.zip
07-17
小宇远程控制管理软件是一款功能强大的远程管理软件,可以在内网、外网任意位置随意管理需要的远程主机。 小宇远程控制管理软件具有以下优点: 支持远程桌面、远程终端、远程文件管理、远程视频控制、远程进程...
UnblockNeteaseMusic-Android
05-24
标题 "UnblockNeteaseMusic-Android" 暗示了这是一个专为Android设备设计的应用程序,旨在解除对网易云音乐的地域限制。这个项目可能是由开发者社区中的爱好者创建的,目的是帮助用户在全球范围内访问网易云音乐的...
[MRCTF2020]PYWebsite (ip
shannidawang的博客
09-08 91
查看源码 function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (code != ""){ if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
XFF伪造 [MRCTF2020]PYWebsite1
m0_75178803的博客
02-23 668
购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。加一个X-Forwarded-For头。看到一个./flag.php。
web buuctf [MRCTF2020]PYWebsite
weixin_44214568的博客
04-07 2358
知识点:XFF漏洞 1.查看源代码 存在flag.php文件,放入url中查看 2.和ip有关,后端验证 抓包,添加X-Forwarded-For=127.0.0.1,伪装访问ip为本地主机 flag{99bd7d0f-62f2-4631-b688-31433132a466}
BUUCTF [MRCTF2020] PYWebsite
Senimo
01-05 518
[MRCTF2020]PYWebsite 考点: 1. 启动环境: 提示需要购买flag,首先对题目进行信息收集,查看网页源码时,发现: <script> function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (c
BUUCTF Web [MRCTF2020]PYWebsite1 & [NPUCTF2020]ReadlezPHP1
网安小趴菜
11-17 589
BUUCTF Web [MRCTF2020]PYWebsite1 & [NPUCTF2020]ReadlezPHP1 wp
BUUCTF之[MRCTF2020]PYWebsite
weixin_44632787的博客
06-22 187
BUUCTF之[MRCTF2020]PYWebsite 知识点 X-Forwarded-For client-ip 题目 先用BurpSuite抓包 用X-Forwarded-For来改一下IP地址
C++总结.docx
09-23
"C++编程语言的关键特性,包括数据类型的引用和const关键字的使用" 在C++编程语言中,引用(reference)和`const`关键字是两个重要的概念,它们各自具有独特的特性和用途。 首先,引用是C++提供的一种增强型的数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小宇特详解

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值