buuctf 极客大挑战 buyflag

添加链接描述
进入flag里去，查看源码

emmmmmm，之前放进burpsuit我不知道怎么上传post值，所以我用postman做
发现有个cookie值，把cookie值改为1

ok，接着看password怎么弄
根据上一张图片里的代码
post money and password~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($password == 404) { echo "Password Right!</br>";
欧克，这个password简单，后面加个注释符就可以绕过了。
还得弄money呢，这边百度了一些web，发现是php中的strcmp漏洞
附上网址strcmp漏洞的讲解

爆出flag