buuctf(web):[极客大挑战 2019]BuyFlag

打开链接

 

在menu菜单里发现了另一个页面,进入payflag要求花100000000元购买flag,前提是属于 CUIT学校的学生,并且密码必须正确。

 

没有什么思路,查看源代码,发现如下提示

 

is_numeric() 函数用于检测变量是否为数字或数字字符串。(如:678或者“678”)

post传入两个参数money和password

money传入钱数,password不能是数字或者数字字符串,并且password需要等于404

因为是弱等于,所以可以传入404b

利用hackbarpost传参

 

但是并没有返回flag,因为题目说必须是CUIT学校的学生,一番查找,在cookie里,发现cookie的值为0,有些可疑,改为1尝试,成功返回flag

 

 

 

posted @ 2022-01-27 17:13  微草wd  阅读(215)  评论(0编辑  收藏  举报