1337UP LIVE 2024 国际赛 Web 方向题解
第一次打国际赛 随便打打感觉学到好多东西 Pizza Paradise 发现信息泄露 robots.txt 存在登陆页面 发现存在前端的身份验证 显然是可以利用的 function hashPassword(password) { return CryptoJS.SHA256(password).toString(); } function validate() { const username = document.getElementById("username").value; const password = document.getElementById("password").value; const credentials = getCredentials(); const passwordHash = hashPassword(password); if ( username === credentials.username && passwordHash === credentials.passwordHash ) { return true; } else { alert("Invalid credentials!"); return false; } } 值得注意的是 这里有个什么getCredentials函数 位于 /assets/js/auth.js 可以发现用户名和密码 密码是sha256加密后的 尝试在网上找个解密的 cmd5要付费eee https://iotools.cloud/zh/tool/sha256-decrypt/ ...