原贴:「Joverna」公益站新的主贴 - 福利羊毛 / 福利羊毛, Lv1 - LINUX DO
为了避免剧透,已经把答案放在最后面了。
如果你之前没有做过本题,请尽量尝试去解谜本题后再阅读本帖,若你解谜失败,请尝试独立思考,使用搜索引擎或AI辅助,或阅读原贴内佬友的提示来解谜。
累计发放220个CDK,前十个520额度,后面的一百多到两百多额度不等。
已经确保CDK分发完毕后再发出此贴,以最大保证久佬的藏码体验和佬友的找码体验。
但好像佬友确实给的提示太多了(悲)
感谢久佬的兑换码,出题以及其他佬友的提示!
============我是分割线===========
找的是什么?
原贴说"<–这里有码",也就提示说明了:
- 久佬可能在帖子里面发送了一个公益站的直接兑换码
- 久佬可能在帖子里面发送了一个CDK兑换链接或相关信息
- 其他的一些来源,比如与兑换码或CDK兑换链接有关的文本或链接
而久佬很快就发了第一个提示:https://linux.do/t/topic/2277801/7
cdk领取,说明是要找到CDK站的链接。
CDK站的链接是什么格式?
固定的链接格式:https://cdk.linux.do/receive/{项目ID}
前面是CDK站域名,而项目ID则是一串UUID,也因此我们的目标是找到这串UUID。
通过自己创建一个CDK分发容易得知这个链接格式,也可以使用AI分析得知这个链接格式。
例如久佬CDK项目的的UUID是1533bd42-d2ad-486b-8cdf-31458b76c709,最后的网址就是https://cdk.linux.do/receive/1533bd42-d2ad-486b-8cdf-31458b76c709。
HTML找不到内容,怎么办?
大家如果发过贴就知道(真的那么容易吗),实际上大家发帖输入的都是Markdown,而不是HTML,这也就意味着需要获取帖子Markdown的源内容来获取久佬隐藏的UUID。
到了这一步就比较简单了,Discourse可以看到发帖的Markdown源文本,可以问AI得到Discourse论坛的Markdown源文本格式如下:
https://linux.do/raw/topic_id/post_number
对应到原贴就是「Joverna」公益站新的主贴 - Markdown源码
我个人在L站搜了一个好用的油猴脚本,分享给大家:【油猴脚本】一键查看复制 LINUXDO 帖子markdown源码(兼容IDC Flare) - 资源荟萃 - LINUX DO
最后的隐藏内容是:<!--1533bd42-d2ad-486b-8cdf-31458b76c709-->
中间的即为CDK分发项目的UUID
为什么HTML展示不了久佬隐藏的内容?
<!--是HTML的注释开始符
-->是HTML的注释终止符
Discourse在渲染的时候会调用xss包:discourse/frontend/pretty-text/addon/sanitizer.js at 66d5bfb309fd7942ed80031310feed08961ef2f1 · discourse/discourse · GitHub
xss包默认移除注释:
js-xss/lib/xss.js at 9c92272047390671b9771a0fb439793f07521d8c · leizongmin/js-xss · GitHub
实际删除注释的代码:
js-xss/lib/default.js at 9c92272047390671b9771a0fb439793f07521d8c · leizongmin/js-xss · GitHub
也因此直接查看HTML无法获取到内容。
都怪佬友提示太深了!
在大概13:30后?的时候,久佬进行了一次更新,把原本的UUID替换成了
CueUseS6juacieeahOS9rOaPkOekuui/h+S6jua3seWFpeS6huWGjeino+S4gOWxggpNVFV6TTJKa05ESXRaREpoWkMwME9EWmlMVGhqWkdZdE16RTBOVGhpTnpaak56QTVDZz09Cg==
的文本内容,通过最后的等号很容易看出是Base64,解码得:
(前面带一个换行符)
由于有的佬提示过于深入了再解一层
MTUzM2JkNDItZDJhZC00ODZiLThjZGYtMzE0NThiNzZjNzA5Cg==
可以很明显看到久佬的碎碎念,继续Base64解码得:
1533bd42-d2ad-486b-8cdf-31458b76c709
即CDK分发项目的UUID
都…都怪佬友提示太深了!!
由于大概13:50?后提示疑似泛滥,因此久佬又更改了题目内容,并同时进行一轮CDK扩容到150个。
Markdown的隐藏内容变为:在100刀那里
可以直接在“初始额度为100刀”注释处得到Base64,不再需要强制阅读Markdown即可获得Base64并解码。
本次修改使得直接分析HTML变得可行,直接查找Base64即可。
都都都怪…
由于大概13:56?… 并同时进行一轮CDK扩容到170个。
Markdown的内容变成:在100刀那里,仔细看,不行就再仔细点 (有些佬提示的过于深了故作此下策)
在“初始额度为100刀”注释处得到提示“哈哈,这里没有,真的没有吗.”
查看Markdown可得到真正的注释:^[哈哈,这里没有,真的没有吗[.](https://gist.github.com/cnhackboy-stack/6b9e90bd3de71500075cd92ad5aa0f2a)]
这里的点是一个网址,如果你细心的话,你的鼠标移动到上面会变成点击跳转链接的图案。
目标网址可以看到具体的分享内容,实际内容为Base64。
本次修改使得直接分析HTML变得可行,直接查找站外链接即可。
都都都都怪…
由于大概14:07?… 并同时进行一轮CDK扩容到190个。
在“初始额度为100刀”注释处得到提示“哈哈,骗你的这里没有,去别处看看吧 
.”
Markdown得到的注释网址不变,点还是那个点。
虽然看似遮住了那个点,但由于渲染较慢,那个点反而更明显了
最后答案
CDK地址:盲盒
UUID:1533bd42-d2ad-486b-8cdf-31458b76c709
佬友的大概进度
12:00 ~10cdk
13:10 ~50cdk
13:25 ~80cdk
13:35 ~100cdk
13:45 ~110cdk
13:50 ~120cdk
14:00 ~140cdk
14:15 ~160cdk
14:20 ~170cdk
14:25 ~180cdk
14:30 ~185cdk
14:30 ~185cdk
15:00 ~210cdk
15:20 ~220cdk
15:22 =220cdk
3 个帖子 - 2 位参与者