先放上连接http://123.206.87.240:8002/web7/
题目标题为各种绕过,果不其然,打开网页,又是熟悉的代码审计。
<?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
if ($_GET['uname'] == $_POST['passwd'])、
print 'passwd can not be uname.';
else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))、
die('Flag: '.$flag);
else
print 'sorry!';
}
让我们简单看看这个代码
(1)uname和passwd存在且不能相同。
(2)id=margin
(3)sha1(passwd)=== sha1(passwd)
首先 注意uname是get提交,而passwd是post提交!!!!!!!
其次 $_GET[‘uname’] == $_POST[‘passwd’] 可以通过php弱比较绕过。
接着 sha1(passwd)和sha1(passwd)需要全等于,可以通过sha1漏洞绕过。
sha1无法加密数组,遇到数组时会报错,判断为FALSE,这就很好的提供了一个绕过的思路。
我们先构造id=margin&uname[]=1,并且提交passwd[]=2的数据
那让我们开始操作!
首先打开burpsuite捕获数据包
接着send to repeater
这里修改GET为POST,在url后加上?id=margin&uname[]=1
数据部分加上 passwd[]=2
接着 最重要的是!!在请求头部分加上
Content-Type: application/x-www-form-urlencoded
要不后台无法接收到post请求提交的数据!(我不说谁能知道我因为没加上这个请求头纠结了两天呢 )
或者还有一个简单的方法,直接在数据包部分右键选择 change request method
burpsuite会直接帮你加上application/x-www-form-urlencoded的请求头!
好了这样flag就get了!
今天的弟弟博客到此结束!
536
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
