进来看完ctrl的kunkun,hint说要买lv6
显然是一个跑目录的操作,这里可以看出直接找lv6.png这个图片就行,写个小脚本爆出来(贼慢,带点耐心)
1 | import requests |
跑出来是181页,直接访问
显然是买不起,抓个包试试有无逻辑漏洞
就这俩参数,改改看,(改折扣为一个很小的数就可以过)
进去之后需要admin,先给抓个包康康,发现有JWT,先丢进 https://www.jsonwebtoken.io/ 里面看看
对用户名进行替换,这里需要一个JWT的工具
可以直接跑出key
然后如图所示构造JWT,发包,通过。
通过后在页面源码里找到一个下载地址,把源码下载到手,进行分析
因为有提示是pickle,直接搜,在Admin.py里面有一个pickle.load(),没有任何过滤的情况下,直接reduce一把梭
exp:
1 | import pickle |
这里用了python2,因为用python3的结果和python2不一样(之后队友告诉我因为python2用的0号协议,而python3是3号协议,tql)
flag到手