[极客大挑战 2019]BuyFlag
发现右边可以选择购买flag点进去
大概意思就是,如果你想要flag那前提是你是CUIT的学生并且还得输入密码去买flag,flag价值100000000钱
下面开始解题
看源码发现了被注解的代码,审计一下大概意思就是需要我们传入密码
那就抓个包看看
发现user可以改,我们改成1
我们成为学生了,下一步就是输入密码了,刚刚的代码上显示了。
以POST的方式,提交password = 404a,因为是弱等于,所以需要在数字后面加上随机的字母,才能使得参数等于数字(是以POST方式,我是笨蛋,弄了半天没提示我以为题目有问题,我GET和PUT请求都试了都不行,就是没想到POST,在这里卡了好久,还是太菜了)
这样就好了 ,之后就是添加金额了,但是没提示是什么参数,所以我这边直接拿money试一试的结果可以
没嘲讽了,tnnd,钱不够,估计金额被限制了,用数组绕一下
成功到手