ctfshow-web 11

web11

我们来做一下web11,打开环境,

ctfshow-web 11

 

 这次直接把源码给了出来。这段源码还是比较容易的。大家看这个 $_SESSION ,条件是让password=session['password']才能显示flag

什么是session呢。

Session是另一种记录客户状态的机制,它是在服务器上面,客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

具体我们可以参考:session与cookie

他讲得还是蛮详细的。

那我们要如何才能使用他们相等呢。

界面当时给我们一串密码,不知道是啥,那我们就bp抓包看看。

ctfshow-web 11

 

 密码是123456,那我们提交登录一下,结果显示出错了。这个的话就得看session,我们只需要把session给删掉就行了。

上面session就是这个

ctfshow-web 11

 

 把这个删掉,然后密码为空,以空密码进行登录这样password就相等了。

ctfshow-web 11

 

 这样就拿到flag了。

 

上一篇:ctfshow web1


下一篇:ctfshow-web9