这篇博客探讨了一种网络安全问题,其中涉及通过MD5加密的授权码验证来访问特定页面。作者指出,由于网站允许本地IP(127.0.0.1)访问flag.php,可以通过构造HTTP头部的XFF字段伪造本地IP来尝试获取权限。博客内容涉及到Web安全、MD5加密和IP欺骗技术。
扫码购买flag
得到hint,查看源代码
function enc(code){
hash = hex_md5(code);
return hash;
}
function validate(){
var code = document.getElementById("vcode").value;
if (code != ""){
if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
alert("您通过了验证!");
window.location = "./flag.php"
}else{
alert("你的授权码不正确!");
}
}else{
alert("请输入授权码");
}
}
意思是我们输入的授权码md5加密后如果和0cd4.....比较弱相等则可以得到flag
暂时没思路去看下flag.php
意思是他自己和购买者的ip进入网站就可以看见flag,我们不知道购买者的ip,但是我们可以知道他的ip肯定是本地127.0.0.1,所以构造xff伪造本地ip查看flag.php
扫一扫
435
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
