web11
我们来做一下web11,打开环境,
这次直接把源码给了出来。这段源码还是比较容易的。大家看这个 $_SESSION ,条件是让password=session['password']才能显示flag
什么是session呢。
Session是另一种记录客户状态的机制,它是在服务器上面,客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
具体我们可以参考:session与cookie
他讲得还是蛮详细的。
那我们要如何才能使用他们相等呢。
界面当时给我们一串密码,不知道是啥,那我们就bp抓包看看。
密码是123456,那我们提交登录一下,结果显示出错了。这个的话就得看session,我们只需要把session给删掉就行了。
上面session就是这个
把这个删掉,然后密码为空,以空密码进行登录这样password就相等了。
这样就拿到flag了。