HGAME 2024 WEEK 1:web Bypass it

题目页面：

本题的名字叫Bypass it，大家初步想的可能是绕过，就是万能密码啊或者万能账号什么的绕过这个登录系统

大家可以尝试一下万能密码登录先！！！（反正flag不是这里搞出来的）

但是多尝试！！！！！

我带你们试一下初步的

账号:admin
密码：1 or 1=1#

大家可能也觉得是万能账号？我也来试一下

这里也不太行

 

目录扫描也扫不出什么东西的

我们尝试一下注册账号！！！

竟然不给？？？抓个包看看....，前面没演示抓的原因是我也抓包爆破过，sql啊，万能密码我也试了一下没啥用。我就不演示了，大家有兴趣的试一下

这个能写出来真的很抽象我觉得

这是注册的包

我来带大家分析一下，我也是瞎猫碰死耗子但是

1.有一个叫register.php的页面，采用了post类型输入数据

2.用户注册底下用户名是username

3.密码是password

这个大家会不会想到很像我们注册页面传参？，但是这里不给我们访问欸

想法：突发奇想，我为什么一定要打开这个网站再给它传参呢？我直接访问的时候传行不行？

用hackbar或者bp改包也行
凭借url，让我们接下来访问的页面是register.php
然后传值：传入username和password为你要注册的账号和密码

注册成功了！！！！！！！！！！！！！

那我们就可以用这个登录进去试一下

看到click here就知道大概出来了

flag为:
hgame{0be87fb957a1d62615dd61b358fc05cc9b30fc78}

---

网安小生，给我懵出来的时候真的很震惊，那时候很激动！！！