Lottery!
页面源代码发现没有太大问题,所以猜测是源码泄露
.git发现存在
- GitHack
在虚拟机里
$cd GitHack-Master
$python GitHack.py 47.96.118.255:8888/.git/
显然,一定是通过买彩票(这里肯定有漏洞)得到足够的钱,然后去买到flag
所以,我们重点找到buy这个函数
for($i=0; $i<7; $i++){
if($numbers[$i] == $win_numbers[$i]){
$same_count++;
}
}
- 这里发现是弱类型漏洞
so…多次提交,发现钱够了就停…
然后去买flag,得到flag!
待会再写…