php弱类型比较——lottery——攻防世界

 

 随便点点，发现是一个买彩票的网站，需要999万金钱才能购买flag。。。，这里我们想能不能虚构自己的金钱呢

先用dirsearch去跑一下网站，发现网站里有/.git，所以我们用kali里的GitHack去获取源码

对源码进行代码审计，发现源码里的api.php里有一个

 

由于php是弱类型比较，我们就有了钻空子的机会。如  if(true == 任何非零的数字)   会返回 true 

所以我们进行抓包，修改为七个true，这样的话我们就能获得大奖，就可以购买flag啦