【BUUCTF】web 之 [极客大挑战 2019]BuyFlag

题目地址：https://buuoj.cn/challenges 解题思路 第一步：进入题目,从左边菜单下拉栏进入PAYFLAG页面 第二步：在PAYFLAG页面使用f12查看提示发现一行注释的php，要求提交password 第三步：使用burpsuite抓包修改参数获取flag 使用burpsuite抓包发现参数user=0，并且提交类型为get 结合提示必须来自CUIT，将user修改为1，发现CUIT的检测值为user的值。 根据提示需要post提交password参数且值为404

[极客大挑战 2019]BuyFlag 继续buu日常刷题： 打开环境总体预览一下： 看到右上角的菜单按钮MENU 在里面发现一个PAYFLAG的按钮 点进去： 猜测应该是用抓包伪造的方式执行payflag 先习惯性的看一下页面的源代码： 发现提示： 代码审计一下，意思是： 需要用post的方式传入money和password的值 而且password的值为404 根据提示Flag need your 100000000 money猜测money的值应该是100000000 那就抓包重传： 然后添加m

翻了页面，看了源代码，都没什么信息 右上角有个MENU,点进去看看 Only Cuit's students can buy the FLAG 看到这句话可能就要伪造ip了 但还要回答密码，不知道什么意思，看看源代码 POST password=404a，抓包修改一下身份 user有点特别，应该是在这里检验身份 身份正确，但是要pay for flag 页面需要100000000 money，这应该是参数 数字太长了，用科学计数法，注意用e ...

于是用bp使用post方式，注意将user=0改成user=1（意思也就是：是cuit的学生为真。一开始我还改成了“cuit's students”。一共就两个页面，就都看一下，发现还有提示：必须是cuit的学生，还得写对密码。如果不加密直接返回的话，flag.php被解析后是看不到有flag的源文件的，所以只能加密然后用在线工具再进行解密得到源文件。bp抓包发现中间302跳转时给了另一个路径secr3t.php，尝试访问，F12找到隐藏的路径.Archive_romm.php,尝试访问，

BUUCTF的[极客大挑战 2019]BuyFlag 1

写在前面， 本人小白一枚，记录一下web做题过程，大部分为个人理解可能有些地方写的不够明确还请见谅。当然由于刚入手web题，所以有些题会没有思路，这时会参考其他大佬的题解过程。本文会一直更新，由于是第一次写博客，所以并不知道一篇能写多少，不管怎样会一直更新的。在题解中，可能并没有说清除为什么是这样，什么要这样，其实大部分我也不知道是为什么，但就是这样做，由上所说我是个小白。如果在文中，出现了只有题目没有题解的情况，是因为我还没有学习与之相关的知识，所以先跳过了，但总会写的。

打开场景，查看源码，发现a链接，pay.php打开目标页面查看源码，发现提示 <!-- ~~~post money and password~~~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($password == 404) { echo

一、[极客大挑战 2019]BuyFlag 1.题目 2.解题步骤 MENU界面下有buyflag的界面，按F12看看 查了一下is_numeric()这个函数，他的作用是判断输入是否是数字的。如果是纯数字返回true，如果不是返回false。这道题注释的代码逻辑是要输入一个非纯数字的字符串且等于404，密码才能正确。 然后顺手百度了一下这个函数的漏洞，在这里贴出来： 这个函数和mysql结合起来就容易出问题，那是因为is_numeric判断的时候，当碰到16进制数的时候，也会判断成数字 is_num

知识点 php中的strcmp漏洞 说明： int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0； 如果 str1 大于 str2 返回 > 0；如果两者相等，返回 0。 可知，传入的期望类型是字符串类型的数据，但是如果我们传入非字符串类型的数据的时候，这个函数将会有怎么样的行为呢？实际上，当这个函数接受到了不符合的类型，这个函数将发生错误，但是在5.3之前的p

题目： 注意进入正确的流程，用最短的步骤走完迷宫。 解题链接：http://ctf5.shiyanbar.com/423/re/rev2.exe 过程 IDA打开： 顺着去找main函数： int main_0() { size_t v0; // eax size_t v1; // ...

传参money=100000000时告诉我们传参长度过长，于是我们改用科学计数法输入money=1e10即可，也可利用函数strcmp()，使用数组绕过password=404a&money[]=1000。根据代码发现为php的弱类型比较，==为弱相等，password=404为弱比较，所以需要在404后面加上东西，如password=404a，然后可绕过检测，使得传入密码正确。发现要求我们购买flag，必须满足student身份，然后花一亿大洋购买flag。点击网站左上角，进入payflag界面。

打开题目。 好像没啥，右上角发现个菜单按钮，点开看看。 看到中间写了。flag需要100000000money。 然后attention这里写着，如果你需要FLAG，你必须是一名叫cuit的学生，你必须正确回答password。然后继续查看源码，发现了这一段代码。 让我们post money和password。然后password不能为数字，然后password必须等于404才返回正确，那这里我们可以通过弱类型来找过，就是404后面加上字母。 抓包看..

文章目录利用点解题完 利用点 字符串绕过is_numeric() 科学计数法 HTTP请求头 解题 进入环境，找到pay.php，查看源码发现注释 要POST参数money和password，这里对password进行了is_numeric()，常规套路用数字字符串绕过，即404a 另一个参数money可从主页上获得，是1000000000 这里还有提示，要验证password、money、身份才能获得flag，还差最后一个身份 身份这个参数很是模棱两可，不知道是值/字符串，可能是XFF、Refer

buuctf [极客大挑战 2019]BuyFlag1 打开之后界面是 查看源码有两个超链接 进入pay.php之后 页面显示有三个条件 students，100000000，password 查看源码会发现有提示 用post提交抓包 绕过第一个student，这个有点像逻辑漏洞，将cookie中的user=0修改1之后就能绕过 如下图 绕password 由于是==可以直接将404修改成404a就可以绕过 这是前两个条件都满足了，最后一个金额不满足，思路是将金额用科学计数法来绕过 总结：

BUUCTF [极客大挑战 2019]BuyFlag1