i春秋百度杯”CTF比赛十月场 login

时间：2018-12-22 16:37:06 阅读：188 评论：0 收藏：0 [点我收藏+]

技术分享图片

出现敏感的信息，然后进行登录

登录成功发现奇怪的show

技术分享图片

然后把show放到发包里面试一下

技术分享图片

出现了源码，审计代码开始

技术分享图片

出flag的条件要user 等于春秋

然后进行login来源于反序列化后的login

下面进行序列化

技术分享图片

然后参数为token，可以通过post，get，cookie的方式，但是看到都是用的cookie，我就用post和get

技术分享图片

原文地址：https://www.cnblogs.com/haozhizhi/p/10161113.html

踩

(0)

评论一句话评论（0）

i春秋 百度杯”CTF比赛 十月场 login