当前位置: 首页 > news >正文

ctfshow WEB web9

news 2025/8/2 20:53:09

试着访问 robots.txt,robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则(哪些文件可以爬取,哪些文件不可以爬取)

继续访问/index.phps

发现SQL中使用了 md5() 函数加密,我们可以利用MD5加密漏洞来绕过,发现还不能超过10,不然会显示错误,所以用 ffifdyop 绕过

绕过原理是:ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是' or '6,而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是1select * from 'admin' where password='' or '6xxxxx',等价于 or 一个永真式,因此相当于万能密码,可以绕过 md5() 函数。

输入密码 ffifdyop,显示如下,发现了 flag

http://www.dtcms.com/a/125230.html

相关文章:

  • 调用阿里云API实现身份证文字识别
  • 基于3d相机的点云物体检测与路径规划
  • Node.js 开发的简单 Web 服务器代码
  • 10分钟做了一个投资回报计算器,欢迎大家使用
  • 第二届数字图像处理与计算机应用国际学术会议(DIPCA 2025)
  • 城电科技 | 光伏太阳花:碳减排路上的璀璨新光光伏智慧花
  • 修图自由!自建IOPaint服务器,手机平板随时随地远程调用在线P图
  • Go学习系列文章声明
  • 《AI大模型应知应会100篇》第9篇:大模型的推理能力:原理与实现
  • 排序算法详细介绍对比及备考建议
  • 数据仓库元数据的管理
  • 【js】nvm1.2.2 无法下载 Node.js 15及以下版本
  • 支持iOS与Android!SciChart开源金融图表库助力高效开发交易应用
  • C++字符串操作详解
  • Dify什么?Dify 零门槛打造专属 AI 应用
  • Rust重定义数据库内核:从内存安全到性能革命的破界之路
  • 国内MCP服务有哪些?MCP服务器搜索引擎哪家好?
  • 深入学习LLM开发 第十三章:智能代理(Agents)基于LangGraph实现
  • 【嵌入式硬件】LAN9253说明书(中文版)
  • 刘哲尔:新生代演员的多元“征途”
  • python-65-常用的数据可视化库和框架
  • 每日算法-250411
  • 【网络原理】网络通信基础
  • 局域网内文件共享的实用软件推荐
  • CD7 CAR-T细胞治疗移植后复发伴髓外病灶的急性髓系白血病
  • 【Raqote】 1.2 路径填充ShaderClipMaskBlitter结构体(blitter.rs)
  • 小星星-第16届蓝桥第3次STEMA测评Scratch真题第4题
  • 琥珀扫描 2.0.5.0 | 文档处理全能助手,支持扫描、文字提取及表格识别
  • 为什么drupal7的分类中的术语增加了日语版本,但是日语页面显示的还是英文的
  • C语言 |位域结构体