评分(3)
解题动态
ey0272 攻破了该题 11小时前
sushezhong 攻破了该题 2天前
群众里有坏人 攻破了该题 3天前
LUCKY721 攻破了该题 5天前
donbrothers 攻破了该题 6天前
15346899030 攻破了该题 6天前
111jing 攻破了该题 7天前
yoruaki 攻破了该题 9天前
Bojing 攻破了该题 10天前
jadxbug 攻破了该题 10天前
edcrfvtgb 攻破了该题 11天前
Felidae 攻破了该题 11天前
2742137753 攻破了该题 12天前
18225355670 攻破了该题 13天前
2407306361 攻破了该题 15天前
15762905283 攻破了该题 16天前
16698519759 攻破了该题 16天前
OldWolfofFarron 攻破了该题 17天前
junzijie 攻破了该题 17天前
评论
snickerX 2年前
举报
有点小复杂,加上hackbar收费了,建议postman
HuangYanQwQ 1年前
举报
hackbarV2免费
Licapule 2年前
举报
burpsuite 得不到flag,实在找不到别的方法可以直接在控制台用AJAX
星之队队二队长 2年前
举报
rnm 退钱
yafoolaw 2年前
举报
返回404,是不是可以退钱
树木有点绿 2年前
举报
easy
tangfan668 2年前
举报
用BP确实不可以,不知道是BP软件有问题,还是这个环境有问题。使用在线hacker工具,使用POST传参,在URL里面传递id=margin&uname[]=a 在body里面传输passwd[]=b,就可以得到flag,利用的原理是数组函数无法做hash,数组hash都为null。
哈密顽石 2年前
举报
bp同时传递get 和post 包没改对,结果没出来。直接使用hackbar 一次出来。
狐萝卜CarroT 2年前
举报
挺奇怪的,一样的payload,用burp提交就没回显,用浏览器提交就回显flag。
rocku1981 2年前
举报
curl "http://114.67.246.176:18393/?uname[]=1&id=margin" -d "passwd[]=2" -g
l89967 2年前
举报
我还是没懂 sha1($_GET['uname']) 里面是数组能的值吗 不是会报错吗
l89967 2年前
举报
@rocku1981 可是我一试就是报错不走代码了,根本没返回null
rocku1981 2年前
举报
sha1处理数组报错会返回null,就相等了