原理
Unicode欺骗
弱口令
session伪造
解题过程
进入靶场,有注册和登录按钮,再看原代码
看到/posts链接,但是点了是404,还有登录和注册链接,之后就是you are not admin的提示,估计是要变成admin登录
解法一
弱口令登录
最终爆破得出密码是123,登录拿到flag
解法二 unicode编码欺骗
参考文章:https://blog.csdn.net/qq_63701832/article/details/128710220
解法三 session伪造
参考文章:https://www.cnblogs.com/chenxianz/p/14186348.html
flask session问题资料:https://www.leavesongs.com/PENETRATION/client-session-security.html