[极客大挑战 2019]BuyFlag1

于 2024-05-20 21:24:36 发布
阅读量356 收藏 5
点赞数 11
分类专栏: BUUCTF练习题合集 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shierbai/article/details/139074379
版权

今天战果还不错

明显的信息,页面源码,说明要post两个东西,password需要等于404且不可以是数字

然后money需要等于100000000

先抓包试试

直接转换了请求方式post了密码和钱没反应

看看包有什么内容

观察到有cookie,此处user=0

难道是要改成1?

这下有回显了,但说我们的密码错误,尝试看看校验函数能不能绕过

php中is_numeric函数的绕过_php 绕过 is numeric-CSDN博客

这次密码正确了,但提示数字过长,那么就是考虑如何缩短那一长串0了

这里首先想到科学计数法,1e8

我很确定是8个零,难道是要大于1e8的,这里是先做密码校验再进行money的值比较的

shierbai
关注
  • 11
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[极客挑战 2019]BuyFlag
siu~
09-11 201
[极客挑战 2019]BuyFlag 解题思路
[极客挑战 2019]BuyFlag 1
qq_43618536的博客
07-02 3331
BUUCTF的[极客挑战 2019]BuyFlag 1
BUUCTF [极客挑战 2019]BuyFlag1
lzu_lfl的博客
09-12 2150
BUUCTF [极客挑战 2019]BuyFlag1_WP
Buuctf [极客挑战 2019]BuyFlag1 WP解析
qq_60115503的博客
11-07 1149
源代码要求我们必须是cuit的学生才可以登录,发现cookie:user=0怀疑是身份判断的位置,布尔值0是false 1为true,修改数据包发送发现要求我们这里输入密码。提示我,1Nember lenth is too long数字太长了,我们这里使用科学计数法将100000000改成10e9。用post方法发送一个名为password的变量,设置password=404a任何字母都可以。我们通过burpsuite将get包修改为post包。点击change body encoding。
[极客挑战 2019]BuyFlag 1 writeup
dlccom的博客
04-21 291
今天又来摸鱼啦!!!!!!!!! 打开靶机到处点点,发现菜单处有个payflag页面 打开页面,有个提示 右键看一下源代码 大概意思是用POST方法提交参数password和money password不能是数字还要弱等于404,这个好解决password=404a就可以了,具体的原因是 在执行关系运算”==“时要求运算符两边的数据类型必须一致,所以如果有一方是int类型,一方是字符串类型的话,字符串类型会被强制转换为整型 那么具体怎么转换呢 1.当字符串中 以 数
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8343
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
eclipse本地的jar包配置Junit环境
最新发布
07-23
用于在eclipse中导入本地的jar包配置Junit环境,版本应该是JUnit4, 配置详情可参照我的博文:http://t.csdnimg.cn/GaqTZ
龙飞嵌入式POS餐饮应用方案介绍.doc
07-23
嵌入式
Struts 2.0 Java归档库文件包
07-23
Struts2.0是Java Web开发中非常重要的一个框架,它是Apache软件基金会的Jakarta项目下的一个产品。这个框架主要用于构建MVC(Model-View-Controller)架构的应用程序,为开发者提供了一种组织应用程序结构、处理HTTP请求以及展示数据的方式。在本压缩包中,包含的是一些Struts2.0的核心jar包、源代码和实例,这些内容对于学习和理解Struts2.0的工作原理和实际应用是非常有帮助的。 我们来详细解析一下Struts2.0的关键知识点: 1. **MVC模式**:Struts2.0基于MVC设计模式,它将应用程序的逻辑分为三个部分——模型(Model)、视图(View)和控制器(Controller)。模型负责业务逻辑,视图负责数据显示,控制器负责接收用户请求并调用相应的模型方法,更新视图。 2. **Action类**:在Struts2中,Action类是处理业务逻辑的核心组件。开发者需要创建Action类,并实现execute()方法,该方法会响应用户的请求,执行相应的业务操作。 3. **配置文件**:Struts2使用XML配
分拣设备_包括零件图_机械3D图可修改打包下载.zip
07-23
分拣设备_包括零件图_机械3D图可修改打包下载.zip
springcloud:Config配置中心demo源码案例演示
07-23
springcloud:Config配置中心demo源码案例演示
课程设计源码、报告资源
07-23
课程设计源码和报告资源是学生们在完成课程设计时经常需要寻找的重要资料。这些资源可以帮助学生理解课程设计的要求,掌握相关的编程技能,并最终完成符合要求的课程设计作品。以下是一些获取课程设计源码和报告资源的途径: 一、学校资源 课程资料: 大多数学校会在课程开始时提供相关的教材、课件和参考资料,其中可能包含课程设计的示例源码和报告模板。 学生可以积极利用这些资源,从中获取灵感和指导。 图书馆: 学校的图书馆通常收藏有大量的专业书籍和期刊,其中可能包含与课程设计相关的源码和报告。 学生可以通过图书馆的检索系统查找相关资源,并借阅或复印使用。 实验室和机房: 学校的实验室和机房往往配备有专业的软件和硬件设备,学生可以在这里进行课程设计的实践操作。 同时,实验室和机房也可能存放有往届学生的课程设计作品和源码,供学生参考和学习。 二、网络资源 在线课程平台: 如慕课网(MOOCs)、网易云课堂等在线课程平台提供了丰富的课程资源,其中可能包含与课程设计相关的视频教程、源码和报告示例。 学生可以根据自己的需求选择合适的课程进行学习,并参考其中的源码和报告。 开源社区和代码托管平台: 开源社区如Git
b055艺体培训机构业务管理系统-springboot+vue+elementui.zip(可运行源码+sql文件+文档)
07-23
艺体培训机构业务管理系统在对开发工具的选择上也很慎重,为了便于开发实现,选择的开发工具为Eclipse,选择的数据库工具为Mysql。以此搭建开发环境实现艺体培训机构业务管理系统的功能。其中管理员管理用户,新闻公告。 艺体培训机构业务管理系统是一款运用软件开发技术设计实现的应用系统,在信息处理上可以达到快速的目的,不管是针对数据添加,数据维护和统计,以及数据查询等处理要求,艺体培训机构业务管理系统都可以轻松应对。 学员信息管理页面,此页面提供给管理员的功能有:学员信息的查询管理,可以删除学员信息、修改学员信息、新增学员信息,还进行了对用户名称的模糊查询的条件。课程信息管理页面,此页面提供给管理员的功能有:查看已发布的课程信息数据,修改课程信息,课程信息作废,即可删除,还进行了对课程信息名称的模糊查询 课程信息信息的类型查询等等一些条件。活动信息管理页面,此页面提供给管理员的功能有:根据活动信息进行条件查询,还可以对活动信息进行新增、修改、查询操作等等。公告信息管理页面,此页面提供给管理员的功能有:根据公告信息进行新增、修改、查询操作等等。
运用YOLOv5模型进行垃圾类别目标识别
07-23
本项目采用YOLOv5实现垃圾分类目标检测。利用大量已标注目标检测数据集进行训练,对居民生活垃圾图片进行检测,找出图片中属于哪个类别的垃圾,并指示出在图片中的位置。 本工程YOLOv5使用PyTorch版的ultralytics/yolov5,在Windows系统上进行垃圾分类目标检测的项目演示。具体项目过程包括:数据集及格式转换、探索性数据分析(EDA)、安装软件环境、安装YOLOv5、修改YOLOv5代码(为支持中文标签)、训练集和测试集自动划分、修改配置文件、准备Weights&Biases训练可视化工具、训练网络模型、测试训练出的网络模型和性能统计。。内容来源于网络分享,如有侵权请联系我删除。另外如果没有积分的同学需要下载,请私信我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值