BUU [HCTF 2018]admin
先看题目,啥也没有,看注释我怀疑是伪造session。
有个注册和登录界面,有验证码不好爆破。
抓个包果然有session。然后就是找密钥了。
在修改密码界面有个提示,看看。git404了,算了直接Unicode 欺骗。
原理: 当使用了nodeprep.prepare()函数之后,如果先使用unicode编码的字符,如 ᴬ ,使用该函数之后,会先改为大写的A,再使用一次就会变成小写的a。ᴀ -> A -> a
所以注册个名字为ᴀdmin就行了,然后修改密码,退出登录。最后用账号admin和刚刚改的密码登录就行了。
