知識點 unicode欺騙 session偽造 解法一：unicode欺騙 查看源碼發現 應該是要注冊成admin用戶 先注冊一個admin1用戶，登錄后在change password頁面查看源碼，發現 訪問后可取得源碼，部分 ...

php中可以使用strpos函數與mb_strpos函數獲取指定的字符串在別一個字符串中首次出現的位置，也可以使用它們判斷一串字符串中是否包含別一個字符串. PHP strpos() 函數 查找 "p ...

知識點：flask session 偽造 這道題源碼泄露，是用flask寫的（看了一下一些師傅的wp，說是看到flask直接去看一下路由）判斷一下具有的功能 通過腳本將session解密： 要想生成admin的session還需要SECRET_KEY ...

查看源代碼，發現<!-- you are not admin --> 提示要以管理員身份登陸 嘗試注冊管理員賬號，提示The username has been registered 於是嘗試隨便注冊一個賬號，發現注冊成功，並能夠登陸 根據頁面提示，猜測是通過更改admin賬號 ...

簡介 原題復現：https://github.com/woadsl1234/HCTF2018_admin 考察知識點:session偽造、unicode漏洞、條件競爭 線上平台:https://buuoj.cn（北京聯合大學公開的CTF平台） 榆林學院內可使用信安協會內部的CTF訓練 ...

靶場首頁 打開靶場后，查看源碼即可看到<!--source.php--> 打開source.php頁面 代碼如下 <?php ...

解題思路 進入頁面之后，一個大大的滑稽。 查看源碼 查看源碼發現有source.php 。打開 發現還有一個hint.php。打開發現 由此可知是代碼審計了 解題 代碼審計 先看此 ...

1、bottle 登陸網站后存在提交url的地方 測試發生存在如下paload,知識點：1、crlf 2、寫一個網站開發的端口小於80，瀏覽器就不會跳轉能執行js(payload只能在火 ...