[MRCTF2020]PYWebsite
感谢天璇战队供题。
天璇战队平台:http://ctf.merak.codes/
进入网页之后,提示需要输入授权码获得flag,而flag需要花66元钱购买(太黑了!!!!)
查看网页源代码,发现网站还有个flag.php
进入之后,提示“验证逻辑是在后端的,除了购买者和我自己,没有人可以看到flag”
伪造Header,X-Forwarded-For: 127.0.0.1,伪造内网访问
可以得到flag(注:在网页中flag是白色的字(可以全选观看反白,也可以直接看源代码))
flag{bcc43acd-eb6b-4742-8745-f5b34e15f3a5}