<!DOCTYPE html>

D.8邀请码

有个页面，需要邀请码，那么该如何hack进入呢？

sql尝试绕过，无效。。那么，分析下源代码吧！

邀请码是post提交，提交参数是code，，这个源代码太丧尸了，居然没有排版，看都看不清

这种

首先，我认为，邀请码一般都是这样吧？要跟别人要邀请码，然后再post提交，然后服务器核对本地的数据，如果不存在，则返回the invite code is invalid.

类似的登陆表单：搜索源代码，没有发现处理表单数据的脚本，如xx.php之类的。

发现源码有很多javascript代码，注意到一行token，说明它防御了csrf攻击。然后分析不出来了，然后去看writeup。

通过搜索（ctrl + F）关键字invite，定位到/js/inviteapi.min.js一个脚本。

通过访问http://xx.com/js/inviteapi.min.js，得到js代码，还是没有排版。

我给他稍微排了下，发现一个生成邀请码，，(⊙﹏⊙)原来invite code是在本地生成的。。

注意倒数第二行，log|console

知识点一：console控制台的使用。

console.log 用于输出普通信息。

至于怎么知道要在控制台输入，makeInviteCode()，我缺少调试js的经验，也不清楚。。

知识点二：

data:"SW4gb3JkZXIgdG8gZ2VuZXJhdGUgdGhlIGludml0ZSBjb2RlLCBtYWtlIGEgUE9TVCByZXF1ZXN0IHRvIC9hcGkvaW52aXRlL2dlbmVyYXRl"

enctype:"BASE64"

将获得的data，解码base64。这个还是很简单的以前做过。可以通过hackbar或者网上在线解码。。

In order to generate the invite code, make a POST request to /api/invite/generate

再把code解码一次，即可获得邀请码。

居然说我的ip不能使用这个邀请码？吓得我赶紧吧vps代理给关了。。

2018.2.20，发现一个插件：JavaScript and CSS Code Beautifier