CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
发布时间:2022-11-08 16:30
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注、SSRF )
场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗?
场景打开后,如下,是个登录框
查看源码,发现可能的注入点 /image.php?id=2
布尔盲注
- /image.php?id=if(1=1,1,5) True
- /image.php?id=if(1=2,1,5) False
条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可作为布尔盲注判断条件