渔人杯题目复现
神仙姐姐

使用burp爆破,四百次的时候即可拿到flag
阿拉丁

我们要一位一位的问flag了

接着使用burp

拿到flag
迷
看到了一个登录框结果并不是sql注入,扫一下目录发现这个个路径



脑洞...
飘啊飘

根据提示修改UA头为手机

改了手机UA头,被重定向了,访问mb.html即可拿到flag
Ez_Mysqli
flag在字段Y4tacker

看一下代码,我们直接输入Y4tacker是不行的,但是我们还要在该字段中搜索

我们发现在数据库里给字母加上声调是一样的,所以我们可以用?username=Y4tācker来绕过


浙公网安备 33010602011771号