• BUU-Web-[极客大挑战 2019]BuyFlag


    拿到题目发现MENU有两个页面,一个是HOME,一个就是PAYFLAG,进入PAYFLAG上面显示必须是CUIT的学生

    以为要xff伪造,用bp抓包看一下,发现有个cookie,内容是user=0,把0改成1send一下,发现回显身份正确了,惊喜!

    这里又说要输入password

    往下翻了翻发现源码

    看了一下,需要以POST方式传递password和money两个参数,password是一个弱类型比较,绕过方式有很多比如404a,404%00,404%20,404 ,404tab都可以

    弱等于:
    ==:先将字符串类型转化成相同,再比较
    字符串和数字比较使用==时,字符串会先转换为数字类型再比较
    var_dump('a' == 0);//true,此时a字符串类型转化成数字,因为a字符串开头中没有找到数字,所以转换为0
    var_dump('123a' == 123);//true,这里'123a'会被转换为123
    var_dump('a123' == 123);//false,因为php中有这样一个规定:字符串的开始部分决定了它的值,如果该字符串以合法的数字开始,则使用该数字至和它连续的最后一个数字结束,否则其比较时整体值为0。
    举例:
    var_dump('123a1' == 123);//true
    var_dump('1233a' == 123);//false

    money在页面回显中看到需要100000000(9个0),于是构造password=404a&money=1000000000,send一下,发现回显password没有输入,???what

    后来看了wp才发现POST传递的参数要放在包的内容里,深感学的太少

    再send一下,又说太长了,用科学计数法试一下moeny=1e9,得到flag

    这里再记一下另一种解法,即money[]=1000000000, 利用的是strcmp的函数特性:当strcmp比较出错的时候就会为null,null即为0故输出flag。

  • 相关阅读:
    Ucloud的自主研发的检测主机是否被入侵的agent
    logstash 中多行合并
    python yield的解释
    influxdb 配置文件注释
    supervisor 完整安装步骤
    Linux创建系统用户
    kafka 集群的部署安装
    shell 计算时间差
    phantomjs 的安装部署
    yarn 的安装
  • 原文地址:https://www.cnblogs.com/Web-Fresher/p/13555463.html
Copyright © 2020-2023  润新知