1. 程式人生 > >實驗吧-Web-天網管理系統

實驗吧-Web-天網管理系統

點開解題連結,會出現一個如下頁面:

乍一看,真好!使用者名稱,密碼都給填上了,可是。。。。點選“登入系統”。。。咦~沒反應!沒反應!!!好吧,F12檢視網頁原始碼

發現問題了。。。

我們看到註釋裡面有一個提示,當傳入的username值經md5加密後等於0,就會返回某樣東西。

在某些情況下,PHP會把類數值資料(如含有數字的字串等)轉換成數值處理,== 運算子就是其中之一。在使用 == 運算子對兩個字串進行鬆散比較時,PHP會把類數值的字串轉換為數值進行比較,如果引數是字串,則返回字串中第一個不是數字的字元之前的數字串所代表的整數值。

因此只要找到一個字串加密後第一個字元為0即可,這裡提供幾個:240610708,aabg7XSs,aabC9RqS 

提交之後,網頁會返回一個連結,對!沒錯!!你才完成了第一步!!將這個連結開啟

哈哈哈哈哈哈哈哈,沒錯,你又發現了新世界,但是這段註釋確實讓人看著腦殼疼,什麼意思呢?

程式碼意思是把post提交的password值經過"反序列化"得到一個數組,要求數組裡的user和pass都等於某個值時就列印flag。

別忘了還有一個提示: "偉大的科學家php方言道:成也布林,敗也布林" ,bool型別的true跟任意字串可以弱型別相等。因此我們可以構造bool型別的序列化資料 ,無論比較的值是什麼,結果都為true。(a代表array,s代表string,b代表bool,而數字代表個數/長度)

解題:
1.我們需要構造序列化的password填入,程式碼意思是把post提交的password值經過"反序列化"得到一個數組,
要求數組裡的user和pass都等於某個值時就列印flag
2.加上程式碼提示布林。
3.bool型別的true跟任意字串可以弱型別相等。因此我們可以構造bool型別的序列化資料 ,無論比較的值是什麼,結果都為true。
4.構造password: a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

沒錯!,就是它了!

終於做出來了。。。。

相關推薦

實驗-Web-管理系統

點開解題連結,會出現一個如下頁面: 乍一看,真好!使用者名稱,密碼都給填上了,可是。。。。點選“登入系統”。。。咦~沒反應!沒反應!!!好吧,F12檢視網頁原始碼 發現問題了。。。 我們看到註釋裡面有一個提示,當傳入的username值經md5加密後等於0,

實驗web管理系統

art 這樣的 相等 ray 條件 arr 加密 csdn 轉換 直接查看源碼 <!--$test=$_GET[‘username‘]>這一行 源碼的下面給了我們一些提示:我們輸入的username經過md5加密後會賦值給test。當t

實驗CTF管理系統

天網你敢來挑戰嘛 格式:ctf{ } 解題連結: http://ctf5.shiyanbar.com/10/web1/  開啟連結後,嗯,光明正大的放出賬號密碼,肯定是登不進的,檢視原始碼 看來是和md5碰撞有關的了, PHP在處理雜湊字串時,會利用”!=”或”

11.管理系統

web安全 php 點開頁面點擊登陸沒反應,先不管,老樣子直接看源碼:一不小心就發現了提示 要求是輸入的賬戶通MD5加密後,與零進行比較,通過應該就得到下一步提示: 由於PHP弱類型語言的緣故,有下圖特性 由此可以知道,只要MD5加密的字符串前面第一位是0就可以通過,

實驗web題(26/26)全writeup!超詳細:)

替換 current repl tex 括號 註入 重定向 urn 其他 #簡單的SQL註入 http://www.shiyanbar.com/ctf/1875 1)試著在?id=1,沒有錯誤 2)試著?id=1‘,出錯了,有回顯,說明有註入點: You have an

實驗--web--天下武功唯快不破

nlp src his span cnblogs web 技術 bnl any ---恢復內容開始--- 英文翻譯過來嘛,就是:天下武功無快不破嘛。(出題者還是挺切題的) 看看前端源碼: 註意這裏 please post what you find with p

Html+JS+PowerShell打造Web版AD管理系統(二)

跨域 owin powershell restful Webapi 最近發現gihub上早已有人把powershell的restful webapi做好了,而且是自宿主的owin。比上次用到的httplistener健壯許多。貌似還是支持job,runspace的。https://gith

一步一步實現web程式資訊管理系統之一----登陸介面實現

一步一步實現web程式資訊管理系統 在web程式中特別是資訊管理系統,登陸功能必須有而且特別重要。每一個學習程式開發或以後工作中,都會遇到實現登陸功能的需求。而登陸功能最終提供給客戶或展現給客戶的最基本的就是2個文字框一個按鈕使用者名稱與密碼,外加一個登陸按鈕。本篇記錄一下登陸功能的前端介面的實現。 1.

實驗web

題目: 很明顯。過年過節不送禮,送禮就送這個 格式: 解題連結: http://ctf5.shiyanbar.com/8/index.php?id=1 首先用sqlmap判斷是否存在sql注入 sqlmap -u "http://ctf5.shiyanbar.com/8

一步一步實現web程式資訊管理系統之三----登陸業務邏輯實現(驗證碼功能+引數獲取)

本篇緊接著上一篇文章[一步一步實現web程式資訊管理系統之二----後臺框架實現跳轉登陸頁面] 驗證碼功能 一般驗證碼功能實現方式為,前端介面訪問一個url請求,後端服務程式碼生成一個圖片流返回至瀏覽器,瀏覽器通過img標籤來展示圖片資訊,其流程模式如下所示: 前端介面 前端介面需

java web之實驗室管理系統開發_會議主要記錄

課程實驗管理系統小組會議記錄 該系統的使用者暫時分為:系統管理員、老師、學生。(假若後期採用角色管理,則另行修改)。 系統具有下列特性:   1. 系統管理員可以新增、更新或刪除老師和班級的資訊。統計資料(上機人數、總的課時數、總實驗次數等)。 2. 老師可以新增、更新或刪除有關實驗的資訊(實驗目的、

一步步實現web程式資訊管理系統之二--後臺框架實現跳轉登陸頁面

SpringBoot springboot的目的是為了簡化spring應用的開發搭建以及開發過程。內部使用了特殊的處理,使得開發人員不需要進行額外繁鎖的xml檔案配置的編寫,其內部包含很多模組的配置只需要新增maven依賴即可使用,這項功能可謂對開發人員提供了大大的好處。使用springboot

一步一步實現web程式資訊管理系統之二----後臺框架實現跳轉登陸頁面

SpringBoot springboot的目的是為了簡化spring應用的開發搭建以及開發過程。內部使用了特殊的處理,使得開發人員不需要進行額外繁鎖的xml檔案配置的編寫,其內部包含很多模組的配置只需要新增maven依賴即可使用,這項功能可謂對開發人員提供了大大的好處。使用springboot只需要簡單配置

【fairy】實驗web題——爆破

最近沉迷於爆破= = 給你一個sha1值,它是0-100000之間的整數的md5值再求取sha1值,請在2秒內提交該整數值 題幹表述的很清楚,就是讓你碰撞出hash值對應的原來的值。 emmmm。又到了寫指令碼的時候了!!! 我們很容易發現提交資料為post請

web工作流管理系統開發之三 視覺化流程設計器

      在工作流管理系統中,引擎的所有的活動,驅動,和流轉,都是以流程定義為基礎而展開的。流程定義檔案是流程能執行的先決條件,同時流程定義檔案又是工作流引擎的設計基礎,引擎必須要能生成,解釋和獲取到任意流程定義節點的資訊。業務流程建模就是將一個具體的業務流程系統用流程定義檔案來描述。而生成這個流程定

基於java web的檔案管理系統

本系統開發是基於B/S模式的,其中資料庫採用MYSQL,前臺頁面的展示是jsp,開發工具是eclipse,伺服器採開源安全的tomcat。本文詳細論述了系統總體設計思想、資料庫設計以及功能模組的設計。具體實現了以下功能:資訊管理、許可權管理、檔案管理、檔案圖片管

實驗web-易-FALSE

先審計程式碼: <?php if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your

實驗Web-中-簡單的sql注入之2

輸入union select、order by這些關鍵字會提示SQLi detected! 說明對於關鍵字有防護 輸入1 union也會提示SQLi detected! 但是如果去掉空格:1union,則會返回正常,1'and'1'='1(無空格)也返回正常 所以可能是過濾了空格。

實驗web-易-上傳繞過

隨便上傳一個png檔案,出現提示  我們再上傳一個php檔案,卻出現提示 上傳遇到問題是肯定的,題目就是上傳繞過,所以我們下面要做的就是繞過檢測。 這裡使用00截斷。 首先在提交時抓包 我們將圖中upload/後面加上:123.php+ 將上面

實驗web-中-簡單的sql注入

頁面顯示:到底過濾了什麼東西? 所以我們先試試到底是過濾了什麼 1 顯示正常 1' 不正常 (直接輸入的關鍵字均會被過濾) 1 union select 顯示:1 select 1 union select table_name 顯示:1 table_name 1 unionuni