刷题记录:2018HCTF&admin
一、前言
经过一个暑假的学习,算是正经一条web狗了,不过还是菜的真实。从今天开始,每天认真研究至少一道ctf题,从做到看wp到验证到背后原理的研究,重质量,争取每道题都有收获。
二、正文
题目复现链接:https://buuoj.cn/challenges
参考链接:一题三解之2018HCTF&admin
1、解题过程
我连源码都没找着,不说了,没想到要把每个页面都view-source,具体过程看参考链接吧
2、解题方法
(1)伪造session
参考链接:客户端 session 导致的安全问题
工具连接:https://github.com/noraj/flask-session-cookie-manager
(2)Unicode欺骗
知识点:nodeprep.prepare进行大小写转换时会进行如下操作
ᴬ -> A -> a
(3)条件竞争
测试没有成功,但不失为一条思路