[MRCTF2020]PYWebsite

感谢天璇战队供题。

天璇战队平台:http://ctf.merak.codes/

 

进入网页之后,提示需要输入授权码获得flag,而flag需要花66元钱购买(太黑了!!!!)

查看网页源代码,发现网站还有个flag.php

进入之后,提示“验证逻辑是在后端的,除了购买者和我自己,没有人可以看到flag”

伪造Header,X-Forwarded-For: 127.0.0.1,伪造内网访问

可以得到flag(注:在网页中flag是白色的字(可以全选观看反白,也可以直接看源代码))

flag{bcc43acd-eb6b-4742-8745-f5b34e15f3a5}

posted @ 2020-11-28 20:39  hktk1643  阅读(332)  评论(0编辑  收藏  举报