CTF-2018-Web-比较数字大小

题目地址:http://118.190.152.202:8014/

比赛结束后地址可能失效

1

解题方法

  • 打开题目网址,如下图所示:

mark

  • 首先养成好习惯,先查看网页源代码,查看关键字段信息,并注意是否会有彩蛋!

mark

mark

分析:通过查看代码,我们可以知道这个表单输入款内最大输入长度为3,post提交方式

  • 尝试输入内容,测试这道题目的功能

输入123,发现返回的是 数字太小了,并且确实是最大输入3位数

mark

那我们输入最大三位数 999 试一试,发现还是很小:

mark

回想一下,题目提示我们只要比服务器上数字大就好,因此我们就要想办法提交更大的值.

  • 要想绕过限制,我想到的第一个办法是 科学记数法

mark

通过测试发现此方法行不通,输入9e9,结果人家返回必须是数字。

  • 第二种绕过方法,由于题目对输入进行的是前端绕过,因此,我们可以使用burpsuite拦截包修改参数值,看看能否绕过

设置好代理,打开监听。随便输入一个数字132,然后提交

mark

然后就可以通过burpsuite看到拦截到的请求包,如下

mark

修改参数值,点击转发按钮,如下图所示:

mark

返回浏览器,看页面返回信息,如下图所示:

mark

可以看到说明我们已经绕过限制,提交的数值也大于服务器上的数值,得到了key

  • 然后将key作为flag提交

mark

返回如下,结果正确

mark

没毛病,这道题到此为止,解答完毕!


title: CTF-2018-Web-比较数字大小
date: 2018-05-01 09:00:00
categories:

  • CTF
    tags:
  • CTF

题目地址:http://118.190.152.202:8014/

比赛结束后地址可能失效

1

解题方法

  • 打开题目网址,如下图所示:

mark

  • 首先养成好习惯,先查看网页源代码,查看关键字段信息,并注意是否会有彩蛋!

mark

mark

分析:通过查看代码,我们可以知道这个表单输入款内最大输入长度为3,post提交方式

  • 尝试输入内容,测试这道题目的功能

输入123,发现返回的是 数字太小了,并且确实是最大输入3位数

mark

那我们输入最大三位数 999 试一试,发现还是很小:

mark

回想一下,题目提示我们只要比服务器上数字大就好,因此我们就要想办法提交更大的值.

  • 要想绕过限制,我想到的第一个办法是 科学记数法

mark

通过测试发现此方法行不通,输入9e9,结果人家返回必须是数字。

  • 第二种绕过方法,由于题目对输入进行的是前端绕过,因此,我们可以使用burpsuite拦截包修改参数值,看看能否绕过

设置好代理,打开监听。随便输入一个数字132,然后提交

mark

然后就可以通过burpsuite看到拦截到的请求包,如下

mark

修改参数值,点击转发按钮,如下图所示:

mark

返回浏览器,看页面返回信息,如下图所示:

mark

可以看到说明我们已经绕过限制,提交的数值也大于服务器上的数值,得到了key

  • 然后将key作为flag提交

mark

返回如下,结果正确

mark

没毛病,这道题到此为止,解答完毕!