[NISACTF 2022]checkin

[NISACTF 2022]checkin wp

进入页面看到源代码:

[NISACTF 2022]checkin_第1张图片

尝试直接 GET 传参,但是失败了。

题目中给出了提示:

[NISACTF 2022]checkin_第2张图片

那么就复制源码,再粘贴成文本:

[NISACTF 2022]checkin_第3张图片

可以看到代码发生了变化,部分代码顺序颠倒。

以 Notepad++ 编辑:

在这里插入图片描述

可以看到这中间出现了一些奇怪的字符。

用 sublime 打开:

在这里插入图片描述

其中有一些不可见字符,这是一些 unicode 编码字符,不可见,作用包括颠倒文本之类。

原理可以参考博客:https://www.cnblogs.com/konglongwu/p/16074299.html

由此可见,我们 GET 传参要传入的参数名和参数值真实的样子并非看到的那样。

可以用 URL 编码来传输这些不可见字符:

payload:
?ahahahaha=jitanglailo&‮⁦Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6%20Flag!%E2%81%A9%E2%81%A6N1SACTF

拿到 flag :

[NISACTF 2022]checkin_第4张图片

注:本文参考了 NSSCTF ktrol 师傅的 WriteUp 。

你可能感兴趣的:(ctf,web安全,网络安全,php)