ctfshow-WEB-web11( 利用session绕过登录验证)

ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过

页面中直接给了源码, 很明显是让我们进行代码审计,  源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功

右键检查或者按F12, 进入开发者模式, 查看浏览器的session, 后端代码就是拿这个session的value值与我们输入的密码进行匹配, 由于这个value值我没解密出来, 所以这里干脆一点, 直接删除让变成空, 而后我们密码什么也不输, 也会是空, 空=空, 从而登录成功

也可以使用抓包软件修改, 将PHPSESSID和password全改成空即可登录成功

登录成功后即可返回flag

文章来源: blog.csdn.net，作者：士别三日wyx，版权归原作者所有，如需转载，请联系作者。

原文链接：blog.csdn.net/wangyuxiang946/article/details/120143624