打开网站：

右上角有个菜单 (menu) ，先点一下，然后就进入了 pay.php 页面。

其中关键信息如下：

## Flag

Flag need your 100000000 money

### attention

If you want to buy the FLAG:
 								You must be a student from CUIT!!!
 								You must be answer the correct password!!! 	 							

------

Only Cuit's students can buy the FLAG

一眼就觉得是要抓包改包，考的是 http 。

查看源码

money 要大于 100000000 ，身份要是 student，要来自 CUIT，要输入正确的密码。感觉还是少了点什么东西，对了，一定要记得查看源码：

这里暴露出的信息有：通过 POST 方式传参 money 和 password 。然后会对 password 参数值做一个过滤：

不能是数字，但是要通过弱比较

$password == 404

php 弱比较

php 在进行字符串与数字弱比较时，会强制把字符串转换为数字，而转换时会截取到第一个不是数字的字符前。

所以可以传入 password=404a 。

到这里信息就差不多了，抓个包看看：

修改 http 请求包可是 burpsuite 的专长呢：

1.将 GET 方式改成 POST 方式，只需要 burp 右键，选中 Change request method 标签即可。

2.添加 post 请求体的参数：

接下来看看，要是学生，我的第一想法是把 Cookie 中的键值对改成 user=student ，但是不成功，看了别人的 wp 才知道，这里要改成：user=1，因为原来的 0 代表不是学生，1 代表是咯。

原来的 from CUIT 我以为是修改 referer 请求头，但是将 user 的 0 改成 1 以后不用修改也能过：

所以目前构造出了这样的 http 请求包：

返回包中提示数字太长。可以使用科学记数法。

科学记数法

1亿 = 1e8 ，但是输入 money=1e8 会提示钱不够，明明够了，那我只好写 1e100 了：