实验吧-web-后台登录

实验吧

web

后台登录

  1. burp抓包尝试爆破

    一般呢,ctf题是不涉及爆破的,因为这样会导致服务器处理压力太大

    可以看到这里当我们输入正确的密码后,会返回flag。

    那么我们的重点就是获取密码了

  2. 寻找密码

    尝试了几次弱密码,注入都没有效果,之后突然看到url:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php,发现文件名很怪异,之后尝试也发现了ffifdyop就是最终的密码

图片.png

拿到flag

  1. 解释

    为什么ffifdyop就可以拿到flag,

    ffifdop

    md5: 276f722736c95d99e921722cf9ed621c

    然后对其编码,这里刚好构成了注入条件

    ‘or’6

    我们查看一个md5加密


    图片.png
content: 129581926211651571912466741651878684928
hex: 06da5430449f8f6f23dfc1276f722738
string: T0Do#'or'8
参考:https://www.jianshu.com/p/fc7ed10d1010

之后查看也发现了我们需要构造一个可以绕过的字符串,所以这道题算是瞎猫逮着了,但是做题的目录就是理解,而不是为了做题而做题。

你可能感兴趣的:(实验吧-web-后台登录)