题目地址:http://118.190.152.202:8014/
比赛结束后地址可能失效
解题方法
- 打开题目网址,如下图所示:
- 首先养成好习惯,先查看网页源代码,查看关键字段信息,并注意是否会有彩蛋!
分析:通过查看代码,我们可以知道这个表单输入款内最大输入长度为3,post提交方式
- 尝试输入内容,测试这道题目的功能
输入123,发现返回的是 数字太小了,并且确实是最大输入3位数
那我们输入最大三位数 999 试一试,发现还是很小:
回想一下,题目提示我们只要比服务器上数字大就好,因此我们就要想办法提交更大的值.
- 要想绕过限制,我想到的第一个办法是 科学记数法
通过测试发现此方法行不通,输入9e9,结果人家返回必须是数字。
- 第二种绕过方法,由于题目对输入进行的是前端绕过,因此,我们可以使用burpsuite拦截包修改参数值,看看能否绕过
设置好代理,打开监听。随便输入一个数字132,然后提交
然后就可以通过burpsuite看到拦截到的请求包,如下
修改参数值,点击转发按钮,如下图所示:
返回浏览器,看页面返回信息,如下图所示:
可以看到说明我们已经绕过限制,提交的数值也大于服务器上的数值,得到了key
- 然后将key作为flag提交
返回如下,结果正确
没毛病,这道题到此为止,解答完毕!
title: CTF-2018-Web-比较数字大小
date: 2018-05-01 09:00:00
categories:
- CTF
tags: - CTF
题目地址:http://118.190.152.202:8014/
比赛结束后地址可能失效
解题方法
- 打开题目网址,如下图所示:
- 首先养成好习惯,先查看网页源代码,查看关键字段信息,并注意是否会有彩蛋!
分析:通过查看代码,我们可以知道这个表单输入款内最大输入长度为3,post提交方式
- 尝试输入内容,测试这道题目的功能
输入123,发现返回的是 数字太小了,并且确实是最大输入3位数
那我们输入最大三位数 999 试一试,发现还是很小:
回想一下,题目提示我们只要比服务器上数字大就好,因此我们就要想办法提交更大的值.
- 要想绕过限制,我想到的第一个办法是 科学记数法
通过测试发现此方法行不通,输入9e9,结果人家返回必须是数字。
- 第二种绕过方法,由于题目对输入进行的是前端绕过,因此,我们可以使用burpsuite拦截包修改参数值,看看能否绕过
设置好代理,打开监听。随便输入一个数字132,然后提交
然后就可以通过burpsuite看到拦截到的请求包,如下
修改参数值,点击转发按钮,如下图所示:
返回浏览器,看页面返回信息,如下图所示:
可以看到说明我们已经绕过限制,提交的数值也大于服务器上的数值,得到了key
- 然后将key作为flag提交
返回如下,结果正确
没毛病,这道题到此为止,解答完毕!