i春秋 百度杯”CTF比赛 十月场 login
出现敏感的信息,然后进行登录
登录成功发现奇怪的show
然后把show放到发包里面试一下
出现了源码,审计代码开始
出flag的条件要user 等于春秋
然后进行login来源于反序列化后的login
下面进行序列化
然后参数为token,可以通过post,get,cookie的方式,但是看到都是用的cookie,我就用post和get
出现敏感的信息,然后进行登录
登录成功发现奇怪的show
然后把show放到发包里面试一下
出现了源码,审计代码开始
出flag的条件要user 等于春秋
然后进行login来源于反序列化后的login
下面进行序列化
然后参数为token,可以通过post,get,cookie的方式,但是看到都是用的cookie,我就用post和get
浙公网安备 33010602011771号