刘功瑞的博客

有一天你突然惊醒,发现这一切,都只不过是一场梦。

2019年10月21日

攻防世界 XCTF WEB 高手区 lottery WriteUp

lottery

题目:

一个彩票网站

解题:

1.png点击play to win!注册一个账号,随便输入个名字,然后让你输入7个数字,点buy会出现是否中奖。


2.png

很可惜,没中奖。

然后买彩票需要9990000块钱,我们需要找到系统漏洞,中个大奖。

猜测后台判断代码大概为:

<?php

$a = "*******";
$b = $_POST['num'];
for ($i = 0; $i < strlen($a); $i++) {
    if ($a[$i] == $b[$i]) {
        echo $i . '正确';
    }
}

使用bp改包,发送数组7个true,成功中奖

1.png

多中几次奖直接购买flag即可。


cyberpeace{475a7bc66b8e5ad623f6d7a7c1fec930}

作者:admin , 分类:CTF , 浏览:612 , 评论:0

发表评论:

Powered By Z-BlogPHP 1.5.2 Zero

Copyright www.liugongrui.com.All Rights Reserved.