`

CTF20 grab bag 400 write_up (三)

 
阅读更多

gb400这道题可谓是这册比赛最简单的一道了,思路直接,方法简单。

题目要求提交某个用户a的余额

首先这道题给了个url和登录帐户密码,登陆上去,然后有个登陆,有个查看,是个jsp的站,

然后查看那里有个简单的sql注入,直接跑出用户名密码就可以登陆了,

这里实际上是有个小tips的就是题目要求得用户a,在这里是查询不到的,但是你可以通过google查到这个知名人士的别名,就在这个sql注入爆出的列表里,然后登陆就可以了。

 

 

实际上很多人可能在得到用户密码列表登陆进去后,第一个用户实质上余额是0.00,如果尝试性的提交,这样就过了,因为那个a用户的余额就是0.00

 

 

分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics