一道关于git源码泄露的题，题不是很难，但是我第一次见遇到这种git源码泄露的题型，所以记录一下；
打开题目：

git1.png

发现是一道需要“赚钱”的题，需要先注册一个账号，每个账号会有20块钱，然后去买彩票，每次购买都会扣掉2块；

git2.png
如上图（运气真差一个都没中）：
所以这道题很明显就是需要让你绕过这个数的验证然后拿到“钱”，然后就可以购买他的flag。
刚开始并没有什么思路，发现了一个api.php的页面，但是也没有什么太大的发现；
git3.png

于是想要读到api.php的源码，并没有常规办法，于是爆破网站目录，发现/.git/目录存在，使用Git—Hack读取网站源码（管理员或开发人员忘记删除的源码压缩包）；

git4.png
查看api.php的源码：
git5.png
分析源码后发现后台使用了用户传入的numbers去与生成的win_numbers进行==运算，显然的漏洞，php弱类型；
然后我们进行burp抓包；
git6.png
post的数据是action（调用buy函数）和bumbers（我们选择的彩票号码），因为后台是一个数字一个数字进行比较的，所以我们这里传入一个数组【true，true,...(7个)】
git7.png
这样我们只要系统生成的数字不是0都可以绕过，多go几次得到足够多的钱。
git8.png
然后返回网页刷新即可购买得到flag！

小结：

这道题的点在于如何才能发现这是一道git源码泄露的题，做完之后反思发现其实当我发现api.php的时候就应该已经知道才对，只不过自己忽视了；因为这里使用数字，但是post的数据是json，而json是可以使用字符的，因此就算没有git源码泄露，也应该很容易想到试一试对==的绕过。（网络安全靠细心！）