[第十屆全國大學生信息安全競賽](web)wanna to see your hat?

wanna to see your hat?
http://106.75.106.203:1515

備用 http://61.174.9.233:1515

image.png
image.png

可以推測出這里應該是將用戶名中的單引號替換成了 \

那么這樣肯定是存在問題的 ,
如果我們輸入的用戶名的最后一個字符是單引號
那么用于將 username 括起來的右邊的單引號就會被轉義

name=or(1)%231%27&submit=check
image.png

此時這個 session 就已經被標記為登陸成功 , 而且應該是管理員
那么我們將這個 session 設置到瀏覽器刷新試試

image.png
最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容