进入靶场，发现有另一个buyflag页面告诉我们如果要买flag，必须是cuit的学生，必须有正确的密码，查看源码，发现密码已经告诉我们 这里涉及post传递两个参数money和password，is_numeric的绕过和password==404的弱比较，通过burpsuite抓包 这里有个cookie:user=0猜测cuit学生的cookie是1改cookie后提示我们输入密码这里涉及is_numeric绕过，php中当一个其他数据类型和数值类型的数据比较大小时，会先将其他数据类型转换成数值类型。所以我们这里可以通过password=404a绕过这里让我们付钱，再传个money=100

进入靶场，发现有另一个buyflag页面告诉我们如果要买flag，必须是cuit的学生，必须有正确的密码，查看源码，发现密码已经告诉我们 这里涉及post传递两个参数money和password，is_numeric的绕过和password==404的弱比较，通过burpsuite抓包 这里有个cookie:user=0猜测cuit学生的cookie是1改cookie后提示我们输入密码这里涉及is_numeric绕过，php中当一个其他数据类型和数值类型的数据比较大小时，会先将其他数据类型转换成数值类型。所以我们这里可以通过password=404a绕过这里让我们付钱，再传个money=100

本题考查对php的strcmp()和is_numeric()函数的绕过不得不说题目页面还是很精美的打开MENU里的PAYFLAG，跳转到如下页面页面告诉我们要买flag需要一亿大洋而且你还的是成都信息工程大学（cuit）的学生，该页面除了提示信息之外没有购买的按钮啥的，所以我们查看一下页面源代码在源代码的最后有一段提示，这里需要代码审计，发现需要我们通过POST传参，传入password和money；分析可知password不能是数字但是password又得等于404，所以此处要对is_numeric()函数和"=="弱比较进行绕过对于is_numeric()函数的绕过可以参考该文章：http

本题考查对php的strcmp()和is_numeric()函数的绕过不得不说题目页面还是很精美的打开MENU里的PAYFLAG，跳转到如下页面页面告诉我们要买flag需要一亿大洋而且你还的是成都信息工程大学（cuit）的学生，该页面除了提示信息之外没有购买的按钮啥的，所以我们查看一下页面源代码在源代码的最后有一段提示，这里需要代码审计，发现需要我们通过POST传参，传入password和money；分析可知password不能是数字但是password又得等于404，所以此处要对is_numeric()函数和"=="弱比较进行绕过对于is_numeric()函数的绕过可以参考该文章：http