[NISACTF 2022]checkin wp

进入页面看到源代码：

尝试直接 GET 传参，但是失败了。

题目中给出了提示：

那么就复制源码，再粘贴成文本：

可以看到代码发生了变化，部分代码顺序颠倒。

以 Notepad++ 编辑：

可以看到这中间出现了一些奇怪的字符。

用 sublime 打开：

其中有一些不可见字符，这是一些 unicode 编码字符，不可见，作用包括颠倒文本之类。

原理可以参考博客：https://www.cnblogs.com/konglongwu/p/16074299.html

由此可见，我们 GET 传参要传入的参数名和参数值真实的样子并非看到的那样。

可以用 URL 编码来传输这些不可见字符：

payload：

?ahahahaha=jitanglailo&‮⁦Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6%20Flag!%E2%81%A9%E2%81%A6N1SACTF

拿到 flag ：

注：本文参考了 NSSCTF ktrol 师傅的 WriteUp 。