文章描述了一个攻防世界的Web挑战,其中涉及使用dirsearch发现git泄露,通常会使用Githack来恢复源码。然而,在这个场景下,源码直接给出。通过代码审计,发现PHP函数中的弱类型比较漏洞,允许将true与数字或字母相等比较时始终返回true。通过修改POST参数,将数字替换为true,可以赢得最高奖项并获取flag。玩家需多次提交请求以获取flag。
背景知识
dirsearch扫描
题目
原题目应该使用dirsearch扫描发现git泄露然后使用Githack复原的但是攻防世界这边直接把源码给了我们
下载附件可得到
打开文件后进行代码审计
function buy($req){
require_registered();
require_min_money(2);
$money = $_SESSION['money'];
$numbers = $req['numbers'];
$win_numbers = random_win_nums();
$same_count = 0;
for($i=0; $i<7; $i++){
if($numbers[$i] == $win_numbers[$i]){
$same_count++;
}
}
switch ($same_count) {
case 2:
$prize = 5;
break;
case 3:
$prize = 20;
break;
case 4:
$prize = 300;
break;
case 5:
$prize = 1800;
break;
case 6:
$prize = 200000;
break;
case 7:
$prize = 5000000;
break;
default:
$prize = 0;
break;
}
$money += $prize - 2;
$_SESSION['money'] = $money;
response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]);
}其中win_numbers中的数字是随机生成0-6的数字,然后和用户输入的数字进行比较如果达到几个相同就返回对应的奖金给他,这里可以使用php弱类型比较当true和一个数字或一个字母比较的时候永远返回true。
使用bp修改post参数购买flag
把post数据修改为
{"action":"buy","numbers":[true,true,true,true,true,true,true]}多发送几次
得到flag
参考学习链接:
【愚公系列】2023年05月 攻防世界-Web(lottery)_攻防世界lottery_愚公搬代码的博客-CSDN博客 攻防世界 Lottery web进阶高手区 详解
扫一扫
4660
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
