notsosecure CTF 2014

PS:比赛已经结束,到处乱翻到的。

题目链接http://ctf.notsosecure.com/9128938921839838/

0x01

打开页面发现是一个登录页面,然后右键源代码。发现如下注释

1
<!--H4sIAAAAAAAAAAsyTs80LTEu0ssoyc0BACMzGYUNAAAA —>

  

然后复制下来

QQ截图20140817215319

1
echo 'H4sIAAAAAAAAAAsyTs80LTEu0ssoyc0BACMzGYUNAAAA' | base64 -d |hexdump

然后发现是gzip的文件然后执行

echo 'H4sIAAAAAAAAAAsyTs80LTEu0ssoyc0BACMzGYUNAAAA' | base64 -d | gzip –d

QQ截图20140817215646

发现注册页面

然后访问它。

注册后登录,提示

QQ截图20140817215919

说我不是admin,蛋疼这该肿么办。

0x02

MYSQL存在这样的问题,如果入库的时候,你插入的字符超出了MySQL的字段长度,MySQL会自动截断到最大长度然后插入,并不会出错。

于是注册用户名为admin                                                                          a的用户(中间有很多个空格)

注册成功登录

QQ截图20140817221226

 

常见文件的前十个字节

http://note.youdao.com/share/?id=87513421ad65b26f7b8eb2cf736f5a90&type=note

posted @   Bl4ck_Code  阅读(301)  评论(0编辑  收藏  举报
编辑推荐:
· Java 中堆内存和栈内存上的数据分布和特点
· 开发中对象命名的一点思考
· .NET Core内存结构体系(Windows环境)底层原理浅谈
· C# 深度学习:对抗生成网络(GAN)训练头像生成模型
· .NET 适配 HarmonyOS 进展
阅读排行:
· 手把手教你更优雅的享受 DeepSeek
· AI工具推荐:领先的开源 AI 代码助手——Continue
· 探秘Transformer系列之(2)---总体架构
· V-Control:一个基于 .NET MAUI 的开箱即用的UI组件库
· 乌龟冬眠箱湿度监控系统和AI辅助建议功能的实现
点击右上角即可分享
微信分享提示