推荐一个好点的网站2022社会热点事件及看法
试着访问 robots.txt,robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则(哪些文件可以爬取,哪些文件不可以爬取)
继续访问/index.phps
发现SQL中使用了 md5() 函数加密,我们可以利用MD5加密漏洞来绕过,发现还不能超过10,不然会显示错误,所以用 ffifdyop 绕过
绕过原理是:ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是' or '6,而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是1select * from 'admin' where password='' or '6xxxxx',等价于 or 一个永真式,因此相当于万能密码,可以绕过 md5() 函数。
输入密码 ffifdyop,显示如下,发现了 flag
