2019-04-27

2017年全国大学生信息安全竞赛-web

1、wanna to see your hat?

使用dirsearch扫描目录，发现    .svn 泄露

使用dvcs-ripper-master恢复文件

源码审计

index.php

存在echo $flag;

想办法使$_SESSION['hat']!='green'

login.php，注意    header重定向之后php代码仍然会执行

需要使查询语句得到的结果数量不为0，

对name先进行waf()，然后trim

在本地调试过程中，

$sql = "select count(*) from t_info where username = '$name' or nickname = '$name'";

利用万能密码，发现开启了魔术引号，

name为    or/**/1=1#'

sql变为select count(*) from t_info where username = 'or/**/1=1#\' or nickname = 'or/**/1=1#\'

其中加粗部分为字符串，利用我们的单引号先被加上\后又被置换为空，将原sql中的闭合单引号给转义