[NISACTF 2022]checkin wp
进入页面看到源代码:
尝试直接 GET 传参,但是失败了。
题目中给出了提示:
那么就复制源码,再粘贴成文本:
可以看到代码发生了变化,部分代码顺序颠倒。
以 Notepad++ 编辑:
可以看到这中间出现了一些奇怪的字符。
用 sublime 打开:
其中有一些不可见字符,这是一些 unicode 编码字符,不可见,作用包括颠倒文本之类。
原理可以参考博客:https://www.cnblogs.com/konglongwu/p/16074299.html
由此可见,我们 GET 传参要传入的参数名和参数值真实的样子并非看到的那样。
可以用 URL 编码来传输这些不可见字符:
payload:
?ahahahaha=jitanglailo&Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6%20Flag!%E2%81%A9%E2%81%A6N1SACTF
拿到 flag :
注:本文参考了 NSSCTF ktrol 师傅的 WriteUp 。