[HCTF 2018]admin 1

[HCTF 2018]admin 1

打开实例发现hctf按钮和登录注册按钮

尝试admin万能密码，无果

admin' or 1=1 --+

根据题目，想着是不是注册个admin账户，显示已被注册（The username has been registered）

证明admin账户存在，bp抓包爆破，添加payload位置为密码位置

开始爆破，发现一个请求长度不同

尝试admin密码123，成功获取flag