打开页面后,发现只有一句话,然后查看了代码发现也什么都没有:
准备用御剑去扫描后台目录看能不能发现什么东西,发现了一个index.phps:
打开index.phps,是一段代码:
代码审计后,分析这道题就是需要用GET方式传参id,然后url解码后需要id=admin。因为浏览器会自动urldecode一次,所以我们构造的admin需要编码两次:
%2561%2564%
打开页面后,发现只有一句话,然后查看了代码发现也什么都没有:
准备用御剑去扫描后台目录看能不能发现什么东西,发现了一个index.phps:
打开index.phps,是一段代码:
代码审计后,分析这道题就是需要用GET方式传参id,然后url解码后需要id=admin。因为浏览器会自动urldecode一次,所以我们构造的admin需要编码两次:
%2561%2564%