[极客大挑战 2019]BuyFlag 1
好吧,又是一道违背我思想的题目,哦不哦不不对,是本人操作太傻了
首先进入主页面
没有发现什么奇怪的东西,查看源代码,搜索.php
可以看到有一个pay.php
,访问查看
给我们了一些提示
FLAG NEED YOUR 100000000 MONEY
FLAG需要100000000美元
If you want to buy the FLAG:
You must be a student from CUIT!!!
You must be answer the correct password!!!
如果想要买FLAG
你必须是CUIT的学生
你的密码必须正确
Only Cuit's students can buy the FLAG
只有Cuit的学生才可以购买FLAG
所以有三个条件,我们必须是Cuit
的学生,还有密码必须正确,还有一个提示是购买flag需要100000000
元,暂时没什么用
继续查看源代码,查看是否有新的发现
在注释中又给我们了提示,必须使用POST
方法提交money、password
参数才可以得到flag
<!--
~~~post money and password~~~
if (isset($_POST['password'])) {
$password = $_POST['password'];
if (is_numeric($password)) {
echo "password can't be number</br>";
}elseif ($password == 404) {
echo "Password Right!</br>";
}
}
-->
这段代码给我们的是password right
密码正确的条件,首先需要密码不是一个数字,然后接着判断密码必须等于404
,不过这里使用的是==
两个等于号,由于PHP是弱类型语言,在判断中123 == 123abc
这种情况
打开burpsuite
抓包尝试提交password
这里忘记了,只有Cuit
的学生才可以购买flag
,仔细观察请求头,其中有一个cookie
中,值为0
,尝试修改为1
提示已经是cuit
的学生,但是提示并没有输入密码,这里我寻思也提交了,咋回事,想了半天,回头观察绕了好久,必须是POST方法提交
这里我真的是啥了,我以为我提交的是POST
,但是burpsuite
请求头消息显示的是GFT
,原来是这里出错,笑死我自己了。
这里修改为POST
修改后,终于提示消息变得不一样,让购买flag,输入给我们的钱100000000
,尝试获取flag
又提示数字太长了,是我钱给的太多吗?输入字符串英文猜测
又说我给的太少了???所以这里该怎么办?我就没有了办法,经过查阅大佬的文章,发现strcmp()
函数的一个漏洞
strcmp函数,在第一个字符串大于第二个字符串时,返回>0,在第二个字符串大于第一个字符串时<0,如果相等返回0
strcmp()在php5.3之前在比较数据类型不匹配,就是数据类型不一样的时候,也会返回0。
所以这里我们传入一个数组,数据类型就不一样了,就会返回flag
,就是这样
oh!yeah我的flag终于到手了,呜呜呜!
收获
php弱类型语言,如果不使用三个`===`号,会进行模糊匹配出现`123 == 123zzk`的状况
strcmp()函数比较时,如果数据类型不匹配,则会返回0
出现用户相关认证信息,先看一下请求头`Cookie`
还有下次`burpsuite`抓包先看一下请求类型,不然真的回谢掉!