buuctf 极客大挑战 buyflag

添加链接描述
进入flag里去，查看源码

emmmmmm，之前放进burpsuit我不知道怎么上传post值，所以我用postman做
发现有个cookie值，把cookie值改为1

ok，接着看password怎么弄
根据上一张图片里的代码
post money and password~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number
"; }elseif ($password == 404) { echo "Password Right!
";
欧克，这个password简单，PHP弱等于。
还得弄money，这边百度了一些web，发现是php中的strcmp漏洞
附上网址strcmp漏洞的讲解

第二种方法
可以用科学计数法