[SWPUCTF 2022 新生赛]奇妙的MD5

[SWPUCTF 2022 新生赛]奇妙的MD5

进来先看到这个查看源代码也没有发现什么东西，打开F12看消息头里是否藏了什么

果真藏了一句sql语句

select * from 'admin' where password=md5($pass,true)

这里的$pass应该是传入的值

这时候可以填万能密码ffifdyop

原理可以参考我的这篇文章:为什么在填密码的时候ffifdyop能被当做万能密码执行呢？

随后进来就是一个大画面

后面的都是md5绕过了很简单不多说了