Задание взято с training.hackerdom.ru.
Видим сайт. В футере, помимо стандартного копирайта, появились исходники.
В исходниках видим, что для прохождения проверки необходимо два условия: пароль должен удовлетворять регулярному выражению ^[a-zA-Z0-9]$ и содержать --.
Очевидно, это невозможно. Но, погуглив, узнаем, что функция ereg уже имеет статус deprecated, поскольку подвержена уязвимости null byte injection — она считает байт \x00 концом строки, и не обрабатывает дальнейшие символы.
Таким образом, например, подойдет пароль (в urlencode) test%00--.
Флаг: uctf_regexp_failed