月度归档： 2020 年 10 月

第一题 页面的背后是什么？

题目地址： http://45.113.201.36/index.html
毕竟第一题，非常简单，打开审核元素过一遍就能看到，或者通过网络也能看到，毕竟js脚本是这样写的：

<script>
    $.ajax({
    url: "api/admin",
    type: "get",
    success:function (data) {
        //console.log(data);
        if (data.code == 200){
            // 如果有值：前端跳转
            var input = document.getElementById("flag1");
            input.value = String(data.data);
        } else {
            // 如果没值
            $('#flag1').html("接口异常，请稍后再试～");
        }
    }
})
</script>

看到有个叫admin的 {code: 200, data: “066ae1d3-44db8ba0-2f6089ea-3d9cc9a0”, msg: “”} 便是答案

第二题 真正的秘密只有特殊的设备才能看到

还是第一题的页面，题目就是答案，开始我还想复杂了，把 UA 改成了windows、Linux、Mac段都试了一遍，最后发现，偌大的提醒就再那，直接改成 bilibili Security Browser 完事

对 http://45.113.201.36/api/ctf/2 访问时，请求头 User-Agent改成bilibili Security Browser 就好了

第三题 密码是啥？

很明显就是看弱密码，然而密码跑字典怕是跑不出来，仿佛脑筋急转弯
username:admin
passwd:bilibili

第四题 对不起，权限不足～

题目地址：  http://45.113.201.36/superadmin.html

 <script>

$.ajax({
     url: "api/ctf/4",
     type: "get",
     success:function (data) {
         console.log(data);
         if (data.code == 200){
             // 如果有值：前端跳转
             $('#flag').html("欢迎超级管理员登陆～答案是 : {{ " + data.data + " }}".toLowerCase() )
         } else {
             // 如果没值
             $('#flag').html("有些秘密只有超级管理员才能看见哦~")
         }
     }
 })
 </script>

上面是脚本，依旧常规看看网络，从脚本可知找到45.113.201.36/api/ctf/4，看到cookie处， session= 后接的是我们账号所用的，这个role很明显就有问题

role=ee11cbb19052e40b07aac0ca060c23ee; 

ee11cbb19052e40b07aac0ca060c23ee拿去md5解密，是user，那么我们把他换成 Administrator再md5加密放回去再访问就能得到答案

第五题 别人的秘密

题目地址： http://45.113.201.36/user.html

<script>

    $(function () {
    
        
        (function ($) {
            $.getUrlParam = function(name) {
                var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)");
                var r = window.location.search.substr(1).match(reg);
                if (r != null) return unescape(r[2]); return null;
            }
        })(jQuery);
    
        var uid = $.getUrlParam('uid');
        if (uid == null) {
            uid = 100336889;
        }
        $.ajax({
            url: "api/ctf/5?uid=" + uid,
            type: "get",
            success:function (data) {
                console.log(data);
                if (data.code == 200){
                    // 如果有值：前端跳转
                    $('#flag').html("欢迎超级管理员登陆～flag : " + data.data )
                } else {
                    // 如果没值
                    $('#flag').html("这里没有你想要的答案～")
                }
            }
        })
    });
</script>

这题就是暴力破解完事，我算是见到了各种大佬各显神通，什么console直接写js脚本暴力的，什么C#写的暴力程序的，什么用Intruder attack的（我这用的是第三者，现学现用）

function get(uid){ 
$.ajax({
                url: "api/ctf/5?uid=" + uid,
                type: "get",
                success:function (data) {
                    console.log(data);
                    if (data.code == 200){
                        // 如果有值：前端跳转
                        $('#flag').html("欢迎超级管理员登陆～flag : " + data.data )
                    } else {
                        // 如果没值
                        $('#flag').html("这里没有你想要的答案～")
get(uid+1)
                    }
                }
            })
}
get(100336889)

现学现用，直接上图，每个人的都不一样，我这没跑多久就出来了

第六题 结束亦是开始

即使到现在，服务器依旧被大佬们打挂了，网页压根打不开，溜了溜了

”折叠”

过程

访问网站，直接通过开发者工具—-网络 我们可以直接很快找出2个api 1.https://api.pixivic.com/trendingTags?date=2020-10-04
2. https://api.pixivic.com/ranks?page=1&date=2020-10-01&mode=day&pageSize=30
1号api从英文可知是 热门标签 ，参数date指的是日期
2号api可知是 排行 ，参数 page 第几页， date 日期， mode 排行模式，pagesize 一页显示多少张
mode从经验就能猜出可选参数day，week，month，year（其中year能返回成功但没有值如下图）

拿2号api举例分析返回的json我们可以知道 data列每一个返回值都是一张图片的信息，比如id: 84697740 图片id， artistId: 80314 画师id，artistPreView 下面是画师的各种信息， tags 下列是标签详情，我们这里重点看 imageUrls 也就是图片地址（如下图）
首页上的图片都是缩略图，我们从网络里图片可知均为 img.cheerfun.dev/c/ 开头，但做插件或程序我们这里需要的是原图，如果直接点开图片发现需要登陆，如果直接访问 imageUrls 里的图片地址会直接403错误，这里开始就是核心了

注册一个号用于测试，点开图片发现依旧是个缩略图，此时下面有个进度条开始加载，到满时呈现原图，我们可以在网络里看到请求url便是原图地址
https://original.img.cheerfun.dev/img-original/img/2020/09/30/00/20/14/84697740_p0.jpg
直接可以看出 2020/09/30/00/20/14/84697740_p0.jpg 便是图片名，猜测前面的日期是图片被镜像服务器收录的时间，如果图片是个系列有多张，则命名p0，p1，p2
但我们在图片加载后直接复制链接打开依旧是403，再去看请求标头，我们能看到一个 Referer的关键词，很明显这是用于防盗链，如果不是特定的来源网站，便会直接403，这样以来就简单了，我们只需要访问时添加请求头referer和值就好了，如下图
VNK暂不知有何用处,可能是标记什么

同理，我们在详情页同样能发现多个api，如
1. https://api.pixivic.com/illusts/84697740/bookmarkedUsers?page=1&pageSize=3 收藏该画作的用户列表
2. https://api.pixivic.com/artists/80314/illusts/illust?page=1&pageSize=10&maxSanityLevel=4 画师画作列表
3. https://api.pixivic.com/illusts/84697740/comments?page=1&pageSize=10 评论列表
4. https://api.pixivic.com/illusts/84697740/related?page=1&pageSize=30 关联画作列表（请求方法一个是get一个options）

看请求头可知
123是需要登陆才可获取的(需要Authorization 请求消息头)
4则是跟之前的一样

结尾

C#添加请求头： HttpWebRequest.Headers.Add("Cookie",value)
所用到的工具：postman，游览器自带的开发者工具
pixivic地址： https://pixivic.com/
再次强调 请勿滥用

”折叠”