Gambling Coin 1
CTF Write-up
Gambling Coin 1
Challenge Information
- Category: Web Exploitation
- Event: BKSEC training 2026
- Author: d4ngvn
- Difficulty: Hidden
- Tags: #web #PHP74 #PHPcmp
1. Description
A simple even/odd betting game. You start with 1 coin and can bet on CHẴN (even) or LẺ (odd). Your goal is to find a way to reach 999 coins to retrieve the flag.
Disclaimer: This challenge does not encourage or promote gambling in any form.
Khuyến cáo: Thử thách này được tạo ra hoàn toàn vì mục đích giáo dục và giải trí. CLB BKSEC không ủng hộ, quảng bá hay khuyến khích bất kỳ hành vi đánh bạc nào.
2. Overview
Một challenge mô tả trang web cá cược online, người chơi là người không bao giờ thắng =))) Ta có thể lách luật bằng cách gửi các request không đúng với mục đích ban đầu của dev.
3. Reconnaissance
Giao diện là một trang cờ bạc cá cược chẵn lẻ, nếu cược chẵn và số ngẫu nhiên ra chẵn thì ăn và ngược lại.

Ta sẽ thử nhập tiền cược và bắt request trong Burp xem:

Response trả về một json chứa thông tin như kết quả, thông tin của lần cược.
4. Exploitation
Ta thử cho các giá trị string vào tham số bet_amount xem sao:

Vẫn được -> backend chỉ lấy giá trị số, thử đặt một giá trị lớn hơn số dư hiện tại 5a:

-> Vẫn được, rất có thể bài này bị dính lỗ hổng trong so sánh giữa string và số nguyên, thử thêm 1 payload nữa như 1000a xem sao:

-> Chiến thắng và lấy được flag