刷题记录:2018HCTF&admin

一、前言

经过一个暑假的学习,算是正经一条web狗了,不过还是菜的真实。从今天开始,每天认真研究至少一道ctf题,从做到看wp到验证到背后原理的研究,重质量,争取每道题都有收获。

二、正文

题目复现链接:https://buuoj.cn/challenges
参考链接:一题三解之2018HCTF&admin

1、解题过程

我连源码都没找着,不说了,没想到要把每个页面都view-source,具体过程看参考链接吧

2、解题方法

(1)伪造session

参考链接:客户端 session 导致的安全问题
工具连接:https://github.com/noraj/flask-session-cookie-manager

(2)Unicode欺骗

知识点:nodeprep.prepare进行大小写转换时会进行如下操作
ᴬ -> A -> a
刷题记录:2018HCTF&admin-LMLPHP

(3)条件竞争

测试没有成功,但不失为一条思路

05-21 13:31