2023年8月30日-[SWPUCTF 2021 新生赛]jicao

已于 2023-08-30 17:22:03 修改
阅读量1.1k 收藏 1
点赞数
文章标签: 安全
于 2023-08-30 17:15:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a_cherry_blossoms/article/details/132586763
版权 
 
<?php
highlight_file('index.php');
include("flag.php");
$id=$_POST['id'];
$json=json_decode($_GET['json'],true);
if ($id=="wllmNB"&&$json['x']=="wllm")
{echo $flag;}
?>

包含了flag.php文件,设定了一个POST请求的id和GET请求的json

语句会对GET请求的数据进行json解码

如果id和json变量的值都等于设定字符串,打印flag

get传参数的时候,直接?参数名=参数值

post传参数可以利用hackbar插件。

LeiHanhan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[SWPUCTF 2021 新生]
snowlyzz的博客
09-11 1473
。。
[SWPUCTF 2021 新生]jicao
wyxlsm的博客
02-18 432
分析出post 和get 注入 打开工具burp 抓包提取分析。从php看到 jion函数名后得出。换post 注入方式。
NSSCTF | [SWPUCTF 2021 新生]jicao
最新发布
2302_80946742的博客
05-08 645
整个脚本的逻辑是:首先展示index.php的源代码,然后检查从用户提交的数据中是否包含特定的id值和JSON字符串。如果这些用户输入的数据符合特定条件,则返回一个所谓的“flag”。POST方式提交的id参数值为“wllmNB”。GET方式提交的json参数可以解码为一个包含的数组。则会执行echo $flag;语句,服务器会返回$flag变量中存储的信息。GET请求方式可以直接构造payload,POST请求方式可以使用HackBar这个浏览器插件。payload:?id=wllmNB。
NSS [SWPUCTF 2021 新生]jicao
Jay17的博客
07-04 438
NSS [SWPUCTF 2021 新生]jicao
[SWPUCTF 2021 新生]jicao、easy_md5
2401_82985722的博客
04-12 821
JSON是什么?对JSON的简单理解_josn是什么-CSDN博客JSON(全称JavaScript)是一种存储数据的方式,使用键值对e.g.{“key”:”value”}的形式表示数据。JSON中,键是一个字符串。值可以是字符串、数字、布尔值、数组、嵌套的JSON对象或null。
NSSCTF刷题笔记web1——[SWPUCTF 2021 新生]jicao
qq_45692883的博客
01-18 379
代码审计,需要通过post传入id为wllmNB的值,以及get的方式传入一串json数据,通过解码后,json中的数据x要等于wllm。json的格式为{"key":"value"}主要考点可能是这个json数据格式。
CTF 全讲解:[SWPUCTF 2021 新生]jicao
两个月亮
09-23 1383
了解 PHP 弱比较的同学可能会想着通过 POST 提交数据 id=0 来使得判断语句成立。这是由于在 PHP 中,倘若 数值与字符串进行弱比较,则 PHP 会优先将字符串转化为数值后再进行比较。而 wllmNB 转化为数值的结果为零,与 $id 的比较结果将为 true。 这样思考有一定的依据,但 忽略了一个事实,即通过 POST 与 GET 向服务器提交的数据都将以 字符串的方式 存储在 $_GET 与 $_POST 中。你以为提交 POST 数据 id=1 后,$id 中存储的数据将为 数值 1 ,而
NSSCTF crypto [SWPUCTF 2021 新生]
m0_67288607的博客
03-19 889
[SWPUCTF 2021 新生]crypto
[SWPUCTF 2021 新生]简简单单的逻辑
weixin_61154173的博客
10-20 1600
re简单题
2023第三届陕西省CTF--职业院校组 部分WP
Fab1an的博客
06-08 578
直接 在URL后面用GET传参?file:///flag
2021CTF比记录
soldi_er的博客
09-03 463
文章目录学生比混合比 学生比 混合比 时间 面对对象 羊城杯 8月报名,9月开 本科/高职/企事业单位
2021DASCTF八月挑战Writeup
qq_42815161的博客
08-31 3027
文章目录 MISC 签到 寒王'sblog stealer CRYPTO easymath let's play with rsa~ ezRSA REVERSE py 看大佬们都不想写这个wp那我写一个吧Orz MISC 签到 看看公告 flag{welcome_to_dasctf_aug} 寒王'sblog 好家伙,不知道gitee是什么根本找不到。直接在url后面加上/flag.jpg访问仓库: https://hanwang2333.gitee.io/202.
2023年2月国内外CTF比时间汇总来了!
网络安全
02-08 4985
2月国内外CTF比时间汇总
一小白的CTF练习(持续更新~)
qq_68093438的博客
09-28 847
一个小白从0开始学习网安的记录~
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值