进入后有个提示:能否登录这个网站?
估计是有admin之类的。
尝试网址后面加/index.php,/admin.php等都不行。。。
最后加/index.phps,phps意思是php source,也就是php源码。
显示了源码:
<?php
if("admin"===$_GET[id]) {
echo("<p>not allowed!</p>");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
echo "<p>Access granted!</p>";
echo "<p>Key: xxxxxxx </p>";
}
?>
Can you anthenticate to this website?
审计代码,就是get传参id,如果id=admin,就不可以,但是如果把id进行urldecode之后id=admin,那么就可以看到key。
网址后加/index.php?id=admin
显示not allowed。
把a进行url编码是%61,再编码一次是%2561,然后输入/index.php?id=%2561dmin,就可以得到key了。cyberpeace{b3e4acd6f86cafc54093b10710aef20b}