CTFer成长记录——CTF之Web专题·攻防世界—lottery

合集 - CTF之web专题(37)

1.CTFer成长记录——web专题·本地访问网址2023-06-262.CTFer成长记录——web专题·一句话木马2023-06-273.CTFer成长记录——Web专题·从cookie中获取信息2023-06-274.CTFer成长记录——Web专题·双写绕过2023-06-275.CTFer成长记录——Web专题·robots协议2023-06-286.CTFer成长记录——Web专题·Linux中的.swp文件2023-06-297.CTFer成长记录——Web专题·修改页面元素2023-06-298.CTFer成长记录——Web专题·判断绕过2023-07-099.CTFer成长记录——CTF之Web专题·初识反序列化2023-07-1410.CTFer成长记录——CTF之Web专题·攻防世界-PHP22023-07-2011. CTFer成长记录——CTF之Web专题·bugku-Simple_SSTI_22023-07-2412.CTFer成长记录——CTF之Web专题·bugku-eval2023-07-2413.CTFer成长记录——CTF之Web专题·bugku-变量12023-07-2714.CTFer成长记录——CTF之Web专题·[ACTF2020 新生赛]Include2023-07-2715. CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯2023-07-2816.CTFer成长记录——CTF之Web专题·攻防世界—easyupload2023-07-2917.CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀2023-07-2918.CTFer成长记录——CTF之Web专题·攻防世界—easyphp2023-07-2919. CTFer成长记录——CTF之Web专题·buuctf—secretfile2023-07-2920.CTFer成长记录——CTF之Web专题·19强网杯—随便注2023-07-3021.CTFer成长记录——CTF之Web专题·攻防世界—file_include2023-07-3122.CTFer成长记录——CTF之Web专题·攻防世界—unseping2023-07-3123.CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter2023-07-3124.CTFer成长记录——CTF之Web专题·极客大挑战 2019—http2023-08-0225.CTFer成长记录——CTF之Web专题·极客大挑战—Upload2023-08-0226.CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL2023-08-0327.CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection2023-08-0428.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize2023-08-0729.CTFer成长记录——CTF之Web专题·攻防世界-php_rce2023-08-0730.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_include2023-08-0731. CTFer成长记录——CTF之Web专题·buuctf-easy_tornado2023-08-08

32.CTFer成长记录——CTF之Web专题·攻防世界—lottery2023-08-10

33. CTFer成长记录——CTF之Web专题·攻防世界—ics-052023-08-1034.CTFer成长记录——CTF之Web专题·buuctf—admin2023-08-1035.CTFer成长记录——CTF之Web专题·buuctf—Cookies2023-08-1836. CTFer成长记录——CTF之Web专题·bugku—never_give_up2023-08-1837.CTFer成长记录——CTF之Web专题·[SWPUCTF 2021 新生赛]jicao2023-09-30

收起

一、题目链接

https://adworld.xctf.org.cn/challenges/list?rwNmOdr=1691651594927

二、解法步骤

  打开网页，这是一个买彩票换flag的网站。题目附件提供了源码：

  在网站上探索一番，发现买flag需要9990000R，获得资金的方式就通过buy功能买彩票。

  那么我们随便输入一个数字，然后用bp抓包发送到repeater，看看这个彩票的值是不是固定的：

发现中奖号码是8693140，那么把原来的数值修改下，看看行不行：

  发现不行，这就说明中奖号码是随机生成的。常规方式行不通，就必须进行代码审计，看看这个buy模块是怎么写的：

  源代码中包含几个文件，猜测action:buy可能在api文件中：

function buy($req){
	require_registered();
	require_min_money(2);

	$money = $_SESSION['money'];//接受用户原有money
	$numbers = $req['numbers'];//接受输入的数字
	$win_numbers = random_win_nums();//生成随机中奖号码
	$same_count = 0;//中奖数字的个数
	for($i=0; $i<7; $i++){
		if($numbers[$i] == $win_numbers[$i]){ //这里是一个弱比较==，如果数组中的值都是true的话，比较永远都是正确的
			$same_count++;
		}
	}

   通过审计发现，存在弱比较，那么我们通过抓包，将输入的号码改成数组型，里面的元素全是true，就可以通过比较，得到奖金了：

  payload："numbers":[true,true,true,true,true,true,true]，这样是数组，之前的""是字符串。

  注意，如果中奖号码随机生成的数字中有0，那么true=0是会比较失败的，多尝试几次就能攒够钱买flag了。

  然后取account里面看：

  最后买下flag：

三、总结

  本题的目标是获取足够的钱得到flag，一般是通过抓包修改，如果不行，就需要更进一步进行代码审计等操作，找到漏洞进行利用，从而获取flag。