原文链接：https://www.cnblogs.com/sukinoaria/p/16556142.htmlDrunkenDeveloper-WarmUP登陆页面查看源码，有一个暴露出的开发者使用的邮箱地址搜了一下发现是个临时邮箱，在https://tempmailid.com/可以登录该邮箱然后重置密码，之后登录网站拿到FlagKonan-Easy分析：点进链接是个登录页面，先输入username后会让输入OTP码，username测了下admin可以通过，其他不存在，用burp抓第二步发送OTP码的过程：查看网页源代码，可以看到引入了js/primary.js比较奇怪点进去格式化后搜索v

原文链接：https://www.cnblogs.com/sukinoaria/p/16556142.htmlDrunkenDeveloper-WarmUP登陆页面查看源码，有一个暴露出的开发者使用的邮箱地址搜了一下发现是个临时邮箱，在https://tempmailid.com/可以登录该邮箱然后重置密码，之后登录网站拿到FlagKonan-Easy分析：点进链接是个登录页面，先输入username后会让输入OTP码，username测了下admin可以通过，其他不存在，用burp抓第二步发送OTP码的过程：查看网页源代码，可以看到引入了js/primary.js比较奇怪点进去格式化后搜索v