web-PHP2

创始人

2025-05-28 22:15:29

进入后Can you anthenticate to this website?

php代码审计

扫描目录找到index.phps文件

在这里插入图片描述

构造payload

http://61.147.171.105:52782/?id=%61%64%6D%69%6E

即?id=admin
在这里插入图片描述

URL编码

urldecode解码
urlencode编码
php 在 GET 一个参数之前，会先自动urldecode,经过了两次url解码，浏览器一次，urldecode一次

（1） %25 === url解码 ===> %
（2）%61 === url解码 ===> a
在网址后加上 ?id=%2561dmin

两次解码后要得到admin，一次解码后不能得到admin，才可以绕过，反过来看就是将admin进行两次url编码，第一次编码%61%64%6D%69%6E，第二次编码将%编码为%25

?id=%2561dmin 绕过得到flag

在这里插入图片描述

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇：攻略游戏分享欢乐划水麻将外挂辅助神器(辅助挂)教程辅助挂普极(有挂实测)-哔哩哔哩

下一篇：牛牛房卡批发平台官网,正规牛牛房卡怎么充值,!房卡充值详细教程

相关内容

热门资讯

实测推荐:“全民如意麻将真的有... 有亲，根据资深记者爆料全民如意麻将是可以开挂的，确实有挂（咨询软件无需...

我来教教您:“天天爱掼蛋到底有... 有亲，根据资深记者爆料天天爱掼蛋是可以开挂的，确实有挂（咨询软件无需打...

重磅消息:“茶虞姬怎么开挂”其... 重磅消息:“茶虞姬怎么开挂”其实是有挂您好：茶虞姬这款游戏可以开挂，确实是有挂的，需要了解加客服微信...

今日重大通报:“开元国际究竟有... 有亲，根据资深记者爆料开元国际是可以开挂的，确实有挂（咨询软件无需打开...

实测讲解:“新天道联盟开挂神器... 有亲，根据资深记者爆料新天道联盟是可以开挂的，确实有挂（咨询软件无需打...