2017年全国大学生信息安全竞赛-web
1、wanna to see your hat?
使用dirsearch扫描目录,发现 .svn 泄露
使用dvcs-ripper-master恢复文件
源码审计
index.php
存在echo $flag;
想办法使$_SESSION['hat']!='green'
login.php,注意 header重定向之后php代码仍然会执行
需要使查询语句得到的结果数量不为0,
对name先进行waf(),然后trim
在本地调试过程中,
$sql = "select count(*) from t_info where username = '$name' or nickname = '$name'";
利用万能密码,发现开启了魔术引号,
name为 or/**/1=1#'
sql变为select count(*) from t_info where username = 'or/**/1=1#\' or nickname = 'or/**/1=1#\'
其中加粗部分为字符串,利用我们的单引号先被加上\后又被置换为空,将原sql中的闭合单引号给转义
