输入框,输入并没有任何的输出和提示。
抓包,在响应头中发现有提示:
提示后台查询语句,同时提到函数md5(xxx,true),去了解这个函数,
了解到输入ffifdyop构成漏洞,
F12查看到如图的代码:
<!--
$a = $GET['a'];
$b = $_GET['b'];
if($a != $b && md5($a) == md5($b)){
// wow, glzjin wants a girl friend.
-->
传入的a变量和b变量不相等,但md5值相等,注意’=‘和’=='其效果是不一样的。弱类型。
使用数组:
a[]=1&b[]=2
[极客大挑战 2019]Knife
中国蚁剑