当前位置: 首页 > news >正文

ctfshow WEB web9

news 来源:原创 2025/6/16 14:07:44

试着访问 robots.txt,robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则(哪些文件可以爬取,哪些文件不可以爬取)

继续访问/index.phps

发现SQL中使用了 md5() 函数加密,我们可以利用MD5加密漏洞来绕过,发现还不能超过10,不然会显示错误,所以用 ffifdyop 绕过

绕过原理是:ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是' or '6,而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是1select * from 'admin' where password='' or '6xxxxx',等价于 or 一个永真式,因此相当于万能密码,可以绕过 md5() 函数。

输入密码 ffifdyop,显示如下,发现了 flag

相关文章:

  • 调用阿里云API实现身份证文字识别
  • 基于3d相机的点云物体检测与路径规划
  • Node.js 开发的简单 Web 服务器代码
  • 10分钟做了一个投资回报计算器,欢迎大家使用
  • 第二届数字图像处理与计算机应用国际学术会议(DIPCA 2025)
  • 城电科技 | 光伏太阳花:碳减排路上的璀璨新光光伏智慧花
  • 修图自由!自建IOPaint服务器,手机平板随时随地远程调用在线P图
  • Go学习系列文章声明
  • 《AI大模型应知应会100篇》第9篇:大模型的推理能力:原理与实现
  • 排序算法详细介绍对比及备考建议
  • 数据仓库元数据的管理
  • 【js】nvm1.2.2 无法下载 Node.js 15及以下版本
  • 支持iOS与Android!SciChart开源金融图表库助力高效开发交易应用
  • C++字符串操作详解
  • Dify什么?Dify 零门槛打造专属 AI 应用
  • Rust重定义数据库内核:从内存安全到性能革命的破界之路
  • 国内MCP服务有哪些?MCP服务器搜索引擎哪家好?
  • 深入学习LLM开发 第十三章:智能代理(Agents)基于LangGraph实现
  • 【嵌入式硬件】LAN9253说明书(中文版)
  • 刘哲尔:新生代演员的多元“征途”
  • 网站的规划与建设课程设计/wordpress免费网站
  • 普陀区网站建设前端/长沙seo网站排名优化公司
  • 无锡做网站优化多少钱/北京网站优化服务
  • 湛江网站建设开发/色盲眼镜
  • 委托网络公司做网站的合同/交换链接适合哪些网站
  • 广州建网站新科网站建设/百度霸屏推广一般多少钱