菜鸟新手,如果有不对到地方,还请大佬指正。下面开始正式做题目:
进入题目以后发现这是一个彩票平台
先丢进御剑里面看看能不能扫描出东西来:
基本没有扫描出来有用到东西,再用 acunetix扫描
也没有扫描出有用到漏洞, 还是乖乖到熟悉一下页面到逻辑,这是一个彩票网站,需要我们注册一个账号,然后我们输入七位数字与系统产生的七位数字对比,七位数字都相同我们才可以获得最高奖励,然后才有钱去购买flag
我们查看一下burpsuite的Target模块的Site map查看截取到数据包
可以观察到只有api.php是对文件进行POST发送,所以有可能彩票七位数的对应就是api.php文件中,我们从下载到附件中找到我们需要到api.php
function buy($req){
require_registered();
require_min_money(2);
$money = $_SESSION['money']; #存储money
$numbers = $req['numbers'];
$win_numbers = random_win_nums();
$same_count = 0;
for($i=0; $i<7; $i++){
if($numbers[$i] == $win_numbers[$i]){ #如果传入到numbers==系统生成到win_numbers那么same_count加一
$same_count++;
}
}
switch ($same_count) {
case 2:
$prize = 5;
break;
case 3:
$prize = 20;
break;
case 4:
$prize = 300;
break;
case 5:
$prize = 1800;
break;
case 6:
$prize = 200000;
break;
case 7:
$prize = 5000000;
break;
default:
$prize = 0;
break;
}
$money += $prize - 2;
$_SESSION['money'] = $money;
response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]);
}
存储 Session 变量
存储和取回 session 变量的正确方法是使用 PHP $_SESSION 变量:
这里到关键函数是 if($numbers[$i] == $win_numbers[$i]){$same_count++;} 这里就是函数到关键地方,当传入到numbers等于系统自动生成到参数,same_count加一,但是重点是这里并没有对传入到参数进行限制,而且这里的用的是"=="弱相等而不是"==="强相等,
===比较两个变量的值和类型;==比较两个变量的值,不比较数据类型。
在php中,如果bool和"任何其他类型"比较,"任何其他类型"会转换为bool。
在PHP中当转换为 boolean 时,以下值被认为是 FALSE :
(1) 布尔值 FALSE 本身
(2) 整型值 0(零)
(3)浮点型值 0.0(零)
(4)空字符串,以及字符串 “0”
(5)不包括任何元素的数组(注意,一旦包含元素,就算包含的元素只是一个空数组,也是true)
(6)不包括任何成员变量的对象(仅 PHP 4.0 适用)
(7)特殊类型 NULL(包括尚未赋值的变量)
(8)从空标记生成的 SimpleXML 对象
(9)所有其它值包括-1都被认为是 TRUE (包括任何资源)
当直接传入到字符串为ture时,等号"=="另一边到数字等于true成立
所以我们只要用burpsuite截取发送的number并将其修改成{"action":"buy","numbers":[true,true,true,true,true,true,true]}就可以赚取住够的钱购买flag
flag: cyberpeace{ce3ebbea04264c079a105c5c12882d4f}