首页看到提示:
ereg()函数有漏洞哩;从小老师就说要用科学的方法来算数
ereg漏洞,百度一下就知道了,%00截断
后面暂时不明所以,一会倒回来看
打开做题网页后,发现代码审计:
1.设置变量并且不为空
2.限制密码内容,可以使用%00绕过
3.密码长度小于8,多少值要大于9999999(7个9)
4.寻找字符串"*-*"第一次c出现的位置(找不到就是FLASE)
第三点现在想起来提示里面,科学计数法那应该就是1e8 = 1000000
1e8最前面(后面有数字比较)
1e8%00*-*直接放在url里面的password=后面即可
本文出自 “11846238” 博客,请务必保留此出处http://11856238.blog.51cto.com/11846238/1949850
原文地址:http://11856238.blog.51cto.com/11846238/1949850
