我是靠谱客的博主 闪闪期待,最近开发中收集的这篇文章主要介绍unicode欺骗—— hctf - adminflag{d4dcfaad-eaca-4976-a9a7-e79c69f21c74},觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

查看源代码,发现<!-- you are not admin -->

提示要以管理员身份登陆

尝试注册管理员账号,提示The username has been registered

于是尝试随便注册一个账号,发现注册成功,并能够登陆

根据页面提示,猜测是通过更改admin账号的密码获取flag

 

于是进入change password界面,读取源码

发现提示<!-- https://github.com/woadsl1234/hctf_flask/ -->

进入之后是这个网页的源码,通过观察发现代码中重新定义并使用了strlow函数

 并且运用了nodeprep.prepare函数

百度之后发现这个函数存在unicode欺骗漏洞,会将ᴬ转换成A,再将A转换成a

于是注册ᴬdmin账号,进行登陆并改密码,就获取了管理员密码

最后登陆得到flag

flag{d4dcfaad-eaca-4976-a9a7-e79c69f21c74}

 

注:此题还有其他解法,一题多解,参考

https://www.jianshu.com/p/f92311564ad0

https://www.anquanke.com/post/id/164086

转载于:https://www.cnblogs.com/MisakaYuii-Z/p/11483071.html

最后

以上就是闪闪期待为你收集整理的unicode欺骗—— hctf - adminflag{d4dcfaad-eaca-4976-a9a7-e79c69f21c74}的全部内容,希望文章能够帮你解决unicode欺骗—— hctf - adminflag{d4dcfaad-eaca-4976-a9a7-e79c69f21c74}所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(46)

评论列表共有 0 条评论

立即
投稿
返回
顶部