輸入萬能密碼
輸入用戶名為admin
輸入用戶名為admin'
輸入用戶名為admin'# 和萬能密碼一樣的界面,再試試別的也是這樣
這題有sql盲注和一個新的知識點
DS_Store源碼泄露:
如果開發/設計人員將.DS_Store上傳部署到線上環境,可能造成文件目錄結構泄漏,特別是備份文件、源代碼文件。
解決方法可以直接上腳本
注意這里需要的是python2的環境,我前面再用三還出不來都是空白
是md5加密過的,那就解密
應該是用戶名或密碼其中一個,
試着輸入些查詢語句
用cat /flag查看flag 還是失敗了
再重新輸幾下好像是空格過濾了。
測試后拿到flag
