CTFshow之Web
web1
签到题,直接查看网页源代码,发现注释中有一串字符
ZmxhZ3s1NDliMDkyYi0yYzkwLTQ1MTktYmY5OC05YTg0MmI4MTdkODV9
将此字符串进行base64解码即可得到flag
WEB2—SQL注入
题目提示是简单的SQL注入,于是尝试输入点中使用万能密码:admin'or 1=1#
之后发现有回显,说明存在sql注入,且用户名是ctfshow
接下来进行order by
判断字段数
查看源代码可知此登录页面使用POST传参,所以我们使用HackBar进行注入,而不能直接在url栏里进行注入。
输入 username=ctfshow'order by 4#&password=1