CTFshow-萌新赛web_假赛生

打开靶机

 

网页源码提示代码如下

 根据提示，存在 login.php register.php，根据要求需要用户名为admin，尝试注册后发现已存在，接着尝试注册用户名admin+空格，接着用admin登录，发现登录成功

 

 接下来绕过正则匹配

if(isset($_GET['c'])){
            preg_replace_callback("/\w\W*/",function(){die("not allowed!");},$_GET['c'],1);
            echo $flag;
        }

令c为空，直接绕过拿到flag