一，题目--pass check

• 题目给出php代码提示

<?php
$pass=@$_POST['pass'];
$pass1=***********;//被隐藏起来的密码
if(isset($pass))
{
if(@!strcmp($pass,$pass1)){
echo "flag:nctf{*}";
}else{
echo "the pass is wrong!";
}
}else{
echo "please input pass!";
}
?>

二，分析

• 1，打开对应的网页，查看源代码，抓包未发现异常
• 2，分析题目提供的php代码if(@!strcmp($pass,$pass1))可知，当输入的pass和pass1相等就可得到flag。

• 3，我们尝试通过post提交一个pass数组，绕过其判断得到flag。例如 pass[] = 1

  
  1529747288354.jpg

三，知识点

• HTTP
• strcmp比较函数