2.【BUUCTF】[极客大挑战 2020]Roamphp1-Welcome

进入题目页面如下

刷新好几遍还是这个页面,后来注意到报错不是404,而是405

表示 客户端使用的HTTP请求方法不被服务器支持

用burp suite抓包,看到是GET请求,报了405,那试试POST请求,用burpsuite修改

放行,看到源码

php 复制代码
<?php
// 1. 设置错误报告级别为 0,即关闭所有错误报告,避免在页面上显示错误信息。
error_reporting(0);

// 2. 检查当前请求的方法是否不是 POST 请求。
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
    // 如果不是 POST 请求,设置 HTTP 响应状态码为 405 Method Not Allowed,表示请求方法不被允许。
    header("HTTP/1.1 405 Method Not Allowed");
    // 终止脚本的执行。
    exit();
} else {
    // 3. 如果是 POST 请求,检查 POST 数据中是否同时存在 'roam1' 和 'roam2' 这两个参数。
    if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){
        // 如果缺少其中一个参数,显示当前 PHP 文件的源代码。
        show_source(__FILE__);
    } else {
        // 4. 检查 'roam1' 和 'roam2' 的值是否不相等,并且它们经过 sha1 哈希后的结果是否相等。
        if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){
            // 如果满足条件,调用 phpinfo() 函数,输出 PHP 的配置信息。
            phpinfo();  // collect information from phpinfo!
        }
    }
}

SHA - 1 哈希碰撞漏洞

sha1() 函数在处理某些特殊输入时会产生哈希碰撞,即不同的输入可能会产生相同的 SHA - 1 哈希值。代码中通过比较 sha1(_POST\['roam1'\]) 和 sha1(_POST['roam2']) 是否相等来判断条件,并且要求 _POST\['roam1'\] 和 _POST['roam2'] 的值不相等

由于代码调用 phpinfo() 函数输出 PHP 配置信息,我们可以利用 SHA - 1 哈希碰撞来满足条件,从而触发 phpinfo() 函数。一般来说,通过查找已知的 SHA - 1 碰撞对,将其分别作为 roam1 和 roam2 的值发送 POST 请求。然后从 phpinfo() 输出的信息中寻找与 flag 相关的线索,可能包括环境变量、文件路径等信息

payload:

roam1[]=1&roam2[]=2

用hackbar发送post请求

得到phpinfo,在环境变量中ctrl+F,输入flag,查找flag,最终找到Flag

相关推荐
liulilittle28 分钟前
FTTR 全屋光纤架构分享
linux·服务器·网络·ip·通信·光纤·fttr
小学僧来啦1 小时前
VSFTPD+虚拟用户+SSL/TLS部署安装全过程(踩坑全通)
网络·网络协议·ssl
szxinmai主板定制专家6 小时前
国产RK3568+FPGA以 ‌“实时控制+高精度采集+灵活扩展”‌ 为核心的解决方案
大数据·运维·网络·人工智能·fpga开发·机器人
天若有情6737 小时前
用 C++ 模拟 Axios 的 then 方法处理异步网络请求
网络·c++·php
搬码临时工7 小时前
路由器转发规则设置方法步骤,内网服务器端口怎么让异地连接访问的实现
服务器·网络·智能路由器·内网穿透·端口映射·外网访问
落笔画忧愁e7 小时前
数据通信学习笔记之OSPF的基础术语
网络·笔记·学习
安顾里7 小时前
LInux平均负载
linux·服务器·php
墨北x9 小时前
网络安全职业技能大赛Server2003
安全·web安全
YGGP9 小时前
【每日八股】复习计算机网络 Day4:TCP 协议的其他相关问题
网络·tcp/ip·计算机网络
ALe要立志成为web糕手9 小时前
create_function()漏洞利用
安全·web安全·网络安全·php·rce