一道Web认证,大概意思是让你登陆此页面
结合标题,首先先尝试找PHP源代码
index.php下没找到
再加多一个s找到了页面源代码
通过观察代码发现,get的id值需要等于经过url解码的id值,且最终id值需要等于admin
就能echo出key 大概就是flag。
此时将admin进行URL编码得出结果
但由于浏览器会自动进行一次URL解码,会将我们输入的结果又解码成admin让条件不符合条件
,所以需要再次编码~
将二次编码的结果通过get的形式提交赋予id
最后得到flag。
小结:需要有一丢丢的PHP代码审计基础,并且了解浏览器会对URL进行一次解码~