从0到1CTFer成长之路-第三章-逻辑漏洞
发布日期:2021-06-29 11:27:47
浏览次数:2
分类:技术文章
本文共 546 字,大约阅读时间需要 1 分钟。
声明
好好向大佬们学习!!!
攻击
逻辑漏洞
摘自
https://book.nu1l.com/tasks/#/
使用BUUCTF在线环境
https://buuoj.cn/challenges
访问
http://3e95fcac-6f75-4037-82c4-b13e38bb3220.node3.buuoj.cn
是个炫酷的登录页面,本来还以为是通过任意用户注册,或者Session等,谁知道直接点提交,就能登进去买书
点击提交后,看到了买书的页面
映入眼帘的三本书
第一本flag,2000块
第二本MISS U,300块
第三本NICE DAY,200块
这个十有八九就是支付的逻辑漏洞了
比如买个贵的,抓包把钱改小
先买个最便宜的NICE DAY试试,点击购买,抓包
发现了参数:一个ID,和一个价格,200块的可以买
反手把200块改成-200000,再执行一次(给自己账户加点钱)
这里是有个坑的,你想要给自己账户加钱成功,必须得保证这个请求执行成功也就是返回This Is a Nice Day,账户里原来就没有多少钱,所以要保证账户的钱购买这个书,才能给自己加钱成功
再次去买那本价值2000的flag书,直接点就行,拿到flag
FLAG{you_can_got_it}
转载地址:https://blog.csdn.net/zy15667076526/article/details/114975937 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
路过,博主的博客真漂亮。。
[***.116.15.85]2024年04月13日 06时13分32秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
从电子垃圾中提炼黄金,可以!!!
2019-04-29
知乎大神深入解析:单片机晶振脚原理是什么?
2019-04-29
电容有17种?看看详细介绍!
2019-04-29
如何准备电赛?19年电赛经验总结!
2019-04-29
蓝牙:为啥叫“蓝”牙,不叫“白”牙?
2019-04-29
干货 | 如何系统学习 C 语言?
2019-04-29
多层PCB内部长啥样? 3D大图解析高端PCB板的设计工艺
2019-04-29
鸿蒙2.0都来了,快搭个环境玩起来吧!
2019-04-29
PCB散热的10种方法!
2019-04-29
值得收藏!268条PCB layout设计规范
2019-04-29
Keil升级了,Keil Studio 来了!
2019-04-29
关于RS-485总线,这篇很详细
2019-04-29
关于2021年电赛的一些想法,看到就是赚到!
2019-04-29
教你一秒分辨真假芯片!
2019-04-29
抽奖 | 送STM32开发板
2019-04-29
光立方,永远的神!
2019-04-29
学习STM32很简单?
2019-04-29
电赛 | 电源题软件如何准备?
2019-04-29
手把手教你DIY一款属于自己的万能红外遥控器!
2019-04-29
速看 | 电子元器件如何确定好坏?
2019-04-29