web11

我们来做一下web11，打开环境，

 

 这次直接把源码给了出来。这段源码还是比较容易的。大家看这个 $_SESSION ，条件是让password=session['password']才能显示flag

什么是session呢。

Session是另一种记录客户状态的机制，它是在服务器上面，客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

具体我们可以参考：session与cookie

他讲得还是蛮详细的。

那我们要如何才能使用他们相等呢。

界面当时给我们一串密码，不知道是啥，那我们就bp抓包看看。

 

 密码是123456，那我们提交登录一下，结果显示出错了。这个的话就得看session,我们只需要把session给删掉就行了。

上面session就是这个

 

 把这个删掉，然后密码为空，以空密码进行登录这样password就相等了。

 

 这样就拿到flag了。