摘要:
前言 有幸拿到了这道题的1血,也在赛后的交流讨论中,发现了一些新的思路,总结一下3个做法: 法1:伪造session 法2:unicode欺骗 法3:条件竞争 信息搜集 拿到题目 http://admin.2018.hctf.io/ f12查看源代码 <!-- you are not admin - 阅读全文
摘要:
进入题目 有三个txt文件,我们分别点击。 第一个/flag.txt 他说flag 在/fllllllllllllag里面,那我们访问一下看看 回车后发现 报了一个error,且在浏览器上有回显,那判断这里是否存在模板注入呢,我们可以试一试,把error换成123看浏览器是否还存在回显。 还是有回显 阅读全文