[第十届全国大学生信息安全竞赛](web)wanna to see your hat?

wanna to see your hat?
http://106.75.106.203:1515

备用 http://61.174.9.233:1515

image.png

可以推测出这里应该是将用户名中的单引号替换成了 \

那么这样肯定是存在问题的 ,
如果我们输入的用户名的最后一个字符是单引号
那么用于将 username 括起来的右边的单引号就会被转义

name=or(1)%231%27&submit=check

image.png

此时这个 session 就已经被标记为登陆成功 , 而且应该是管理员
那么我们将这个 session 设置到浏览器刷新试试

image.png

最后编辑于：2017.12.08 16:27:22

[第十届全国大学生信息安全竞赛](web)方舟计划
上古时代，大洪水降世，毁天灭地。唯有诺亚得到神启，将地球上所有动物各带一对躲入方舟，延续了人类文明的火种。活在现代...
王一航阅读 938评论 0赞 5
[第十届全国大学生信息安全竞赛](web)PHP execise
PHP execise http://106.75.126.194:6789 备用 http://106.75.1...
王一航阅读 630评论 0赞 2
[第十届大学生信息安全竞赛](web)flag vending machine (by l3m0n)
已获作者授权，原文地址： http://www.cnblogs.com/iamstudy/articles/201...
_Deen阅读 674评论 0赞 0
情书
有一种感情的初始是一见钟情有一种爱情的开端是彼此嫌弃有一种喜欢的结局是天涯诀别有一种深爱的后果是此生...
魂香怡墨阅读 194评论 0赞 1
教室危机的百合ED——『Classroom☆Crisis』ED分析
作者：KOMAOKURI 封面来源：Classroom☆Crisis 本文仅供Anitama发表，任何单位或个人，...
AnimeTamashii阅读 811评论 0赞 1

3赞4赞

赞赏

手机看全文