[极客大挑战 2019]BuyFlag 1

好吧,又是一道违背我思想的题目,哦不哦不不对,是本人操作太傻了
首先进入主页面

没有发现什么奇怪的东西,查看源代码,搜索.php

可以看到有一个pay.php,访问查看


给我们了一些提示

FLAG NEED YOUR 100000000 MONEY
FLAG需要100000000美元

If you want to buy the FLAG:
You must be a student from CUIT!!!
You must be answer the correct password!!!
如果想要买FLAG
你必须是CUIT的学生
你的密码必须正确

Only Cuit's students can buy the FLAG
只有Cuit的学生才可以购买FLAG

所以有三个条件,我们必须是Cuit的学生,还有密码必须正确,还有一个提示是购买flag需要100000000元,暂时没什么用
继续查看源代码,查看是否有新的发现

在注释中又给我们了提示,必须使用POST方法提交money、password参数才可以得到flag

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

这段代码给我们的是password right密码正确的条件,首先需要密码不是一个数字,然后接着判断密码必须等于404,不过这里使用的是==
两个等于号,由于PHP是弱类型语言,在判断中123 == 123abc这种情况
打开burpsuite抓包尝试提交password

这里忘记了,只有Cuit的学生才可以购买flag,仔细观察请求头,其中有一个cookie中,值为0,尝试修改为1

提示已经是cuit的学生,但是提示并没有输入密码,这里我寻思也提交了,咋回事,想了半天,回头观察绕了好久,必须是POST方法提交
这里我真的是啥了,我以为我提交的是POST,但是burpsuite请求头消息显示的是GFT,原来是这里出错,笑死我自己了。
这里修改为POST

修改后,终于提示消息变得不一样,让购买flag,输入给我们的钱100000000,尝试获取flag

又提示数字太长了,是我钱给的太多吗?输入字符串英文猜测

又说我给的太少了???所以这里该怎么办?我就没有了办法,经过查阅大佬的文章,发现strcmp()函数的一个漏洞

strcmp函数,在第一个字符串大于第二个字符串时,返回>0,在第二个字符串大于第一个字符串时<0,如果相等返回0

strcmp()在php5.3之前在比较数据类型不匹配,就是数据类型不一样的时候,也会返回0。

所以这里我们传入一个数组,数据类型就不一样了,就会返回flag,就是这样

oh!yeah我的flag终于到手了,呜呜呜!
收获

php弱类型语言,如果不使用三个`===`号,会进行模糊匹配出现`123 == 123zzk`的状况
strcmp()函数比较时,如果数据类型不匹配,则会返回0
出现用户相关认证信息,先看一下请求头`Cookie`
还有下次`burpsuite`抓包先看一下请求类型,不然真的回谢掉!
posted @ 2022-09-08 19:58  Junglezt  阅读(321)  评论(0编辑  收藏  举报