真题部分前面几个都比较简单,只要知道了方法基本能走出来,这个题是一个注入题,根据提示已经确定用户名是admin,接下来要通过注入的方法把密码给破出来
经过测试发现对空格进行了检测,这里绕过方法很多
主要是以下几个
/**/
()
回车(url编码中的%0a)
`(tap键上面的按钮)
tap
两个空格
/**/成功绕过
因为返回的内容只有 密码错误 这一个内容,我感觉这个题是盲注题
想过爆破,但是()+被过滤了,看到一种说法说()被过滤了就无法爆破了,不太清楚是不是这么一回事
看了下别人的CTF,才发现自己完全想错了,这是要利用其后台代码的逻辑漏洞实现登陆。
存在两种检测逻辑