[NISACTF 2022]checkin

题目来源：nssctf

题目类型：web

涉及考点：代码审计

1. 先看题目，做代码审计

看上去就是GET传入两个参数即可，但是传入之后没有任何反应

这里看了hint才知道复制之后有问题，那我们把它复制出来，然后用winhex打开：

2. 构造payload

我们选择实际的参名和字符串，并转为url编码格式（每两位前加%）即可：

不知道为啥在线url编码不加上%，只能用脚本加或者手动加了

最终构造payload如下：

/ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6%55%67%65%69%77%6F%E2%81%A9%E2%81%A6%63%75%69%73%68%69%79%75%61%6E=%E2%80%AE%E2%81%A6%20%46%6C%61%67%21%E2%81%A9%E2%81%A6%4E%31%53%41%43%54%46

传入得到flag：

NSSCTF{644c6f3c-585d-4d51-9cdd-abb49f30a6ed}

日期：2023.8.5

作者：y0Zero

本栏目推荐文章
• AtCoder World Tour 2022 B The Greatest Two
• 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
• 多态和虚函数 [补档-2022-10-23]
• 深拷贝和浅拷贝的问题 [补档-2022-10-22]
• P8368 [LNOI2022] 串
• origin2022导出图有水印
• 【专题】2022云上新型电力系统报告PDF合集分享（附原数据表）
• 2022 Jiangsu Collegiate Programming Contest
• VS2013项目升级VS2022
• Visual Studio 2022密钥

NISACTF checkin 2022nisactf checkin 2022 babyserialize nisactf 2022 新生hubuctf checkin 2022 nisactf secret 2022 is popchains nisactf 2022 level-up nisactf level 2022 babyupload nisactf 2022 sign-ezc nisactf 2022 sign ezpython nisactf 2022 nisactf string 2022