渔人杯题目复现

神仙姐姐


使用burp爆破,四百次的时候即可拿到flag

阿拉丁


我们要一位一位的问flag了

接着使用burp

拿到flag

看到了一个登录框结果并不是sql注入,扫一下目录发现这个个路径



脑洞...

飘啊飘


根据提示修改UA头为手机

改了手机UA头,被重定向了,访问mb.html即可拿到flag

Ez_Mysqli

flag在字段Y4tacker

看一下代码,我们直接输入Y4tacker是不行的,但是我们还要在该字段中搜索

我们发现在数据库里给字母加上声调是一样的,所以我们可以用?username=Y4tācker来绕过

posted @ 2025-04-06 00:21  慕雪ya  阅读(75)  评论(0)    收藏  举报