后台登录-实验吧

题目地址:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php

1.Web题的一般操作就是查看页面源码,直接Ctrl+U打开源码查看。

后台登录 实验吧

 

2.这段PHP代码的意思大概是用输入经过md5加密后的密码和admin用户名查询,结果等于sql,然后看数据库中是否存在sql。

$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";

这句话的意思就是密码被加密了,但是我们可以注入绕过啊,只要一字符串的md5恰好能够产生如’or ’之类的注入语句,就可以进行注入了,但是emmm....好像有点不那么容易找啊。

3.但是我们可以注意一下这个题目的url,不觉得这个ffifdyop.php的命名方式很奇怪吗,根本不符合一般的命名规则,直接输入测试一波,成功得到flag。

4.总结:有时候真的需要细心依旧大胆推测,以及更大的脑洞。

  1. Hr.Name说道:
    Google Chrome Windows 10

    好强

发表评论

电子邮件地址不会被公开。必填项已用 * 标注