BUU [HCTF 2018]admin
先看题目,啥也没有,看注释我怀疑是伪造session。
有个注册和登录界面,有验证码不好爆破。
抓个包果然有session。然后就是找密钥了。
在修改密码界面有个提示,看看。git404了,算了直接Unicode 欺骗。
原理: 当使用了nodeprep.prepare()函数之后,如果先使用unicode编码的字符,如 ᴬ ,使用该函数之后,会先改为大写的A,再使用一次就会变成小写的a。ᴀ -> A -> a
所以注册个名字为ᴀdmin就行了,然后修改密码,退出登录。最后用账号admin和刚刚改的密码登录就行了。
![BUUCTF-[GUET-CTF2019]re(Reverse逆向)](https://ucc.alicdn.com/wqoym6gdk4gnc/developer-article1645688/20241217/96cd1a90cc1c4783b134fbd522690a2a.png?x-oss-process=image/format,webp/resize,h_160,m_lfit)
![BUUCTF [ACTF新生赛2020]base64隐写 1](https://ucc.alicdn.com/pic/developer-ecology/tycxnpqmgloi4_4b022dac2d2941b79410f9893e925b9b.png?x-oss-process=image/format,webp/resize,h_160,m_lfit)