[极客大挑战 2019]BuyFlag 1

好吧，又是一道违背我思想的题目，哦不哦不不对，是本人操作太傻了

首先进入主页面



没有发现什么奇怪的东西，查看源代码，搜索.php



可以看到有一个pay.php，访问查看





给我们了一些提示

FLAG NEED YOUR 100000000 MONEY
FLAG需要100000000美元

If you want to buy the FLAG:
You must be a student from CUIT!!!
You must be answer the correct password!!!
如果想要买FLAG
你必须是CUIT的学生
你的密码必须正确

Only Cuit's students can buy the FLAG
只有Cuit的学生才可以购买FLAG

所以有三个条件，我们必须是Cuit的学生，还有密码必须正确，还有一个提示是购买flag需要100000000元，暂时没什么用

继续查看源代码，查看是否有新的发现



在注释中又给我们了提示，必须使用POST方法提交money、password参数才可以得到flag

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

这段代码给我们的是password right密码正确的条件，首先需要密码不是一个数字，然后接着判断密码必须等于404，不过这里使用的是==

两个等于号，由于PHP是弱类型语言，在判断中123 == 123abc这种情况

打开burpsuite抓包尝试提交password



这里忘记了，只有Cuit的学生才可以购买flag，仔细观察请求头，其中有一个cookie中，值为0，尝试修改为1



提示已经是cuit的学生，但是提示并没有输入密码，这里我寻思也提交了，咋回事，想了半天，回头观察绕了好久，必须是POST方法提交

这里我真的是啥了，我以为我提交的是POST,但是burpsuite请求头消息显示的是GFT，原来是这里出错，笑死我自己了。

这里修改为POST



修改后，终于提示消息变得不一样，让购买flag，输入给我们的钱100000000，尝试获取flag



又提示数字太长了，是我钱给的太多吗？输入字符串英文猜测



又说我给的太少了？？？所以这里该怎么办？我就没有了办法，经过查阅大佬的文章，发现strcmp()函数的一个漏洞

strcmp函数，在第一个字符串大于第二个字符串时，返回>0，在第二个字符串大于第一个字符串时<0,如果相等返回0

strcmp()在php5.3之前在比较数据类型不匹配，就是数据类型不一样的时候，也会返回0。

所以这里我们传入一个数组，数据类型就不一样了，就会返回flag，就是这样



oh!yeah我的flag终于到手了，呜呜呜！

收获

php弱类型语言，如果不使用三个`===`号，会进行模糊匹配出现`123 == 123zzk`的状况
strcmp()函数比较时，如果数据类型不匹配，则会返回0
出现用户相关认证信息，先看一下请求头`Cookie`
还有下次`burpsuite`抓包先看一下请求类型，不然真的回谢掉！