这道题目还算是有意思,能够体现 php 是世界上最好的语言。
访问网址,仅仅返回了简单的字符串,理解不到有什么意思,就不去理解了。回到题目,备份是个好习惯,那么可能有备份文件存在,使用dirsearch查找文件,找到 index.php.bak 文件,下载下来,能够看到源代码
php
<?php
/**
* Created by PhpStorm.
* User: Norse
* Date: 2017/8/6
* Time: 20:22
*/
include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);
echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag";
}
?>从这个语法来看,可以推断出来,使用的应该是php7.2一下的版本,分析一下代码,语义大概如下:
1、获取 ? 后面的字符串包括 ?
2、提取 ? 后面的字符串不包括 ?
3、过滤掉关键字 key
4、按照键值对创建变量
5、输出两个变量 key1 和 key2的md5值
6、如果md5值相同,值不相同就输出flag
解释完语义之后,相比各位师傅也有了大概的解题思路。
我们先来看这道题目的考点:
1、过滤
2、md5关于 php 的过滤,这是很简单的考点了,简单双写或者使用其他编码就能绕过,难点就在于 md5
刚开始想,一下子能想到的就是 md5 碰撞,但是去网上找了很多工具,好像直接生成 md5相同,值不同的还是很难的,于是想其他思路。
考虑到 php 是弱类型,那么md5的返回值又是怎么样的呢?于是去往 php 官网,在下面的用户备注查看到
md5('240610708') == md5('QNKCDZO')
This comparison is true because both md5() hashes start '0e' so PHP type juggling understands these strings to be scientific notation. By definition, zero raised to any power is zero.
只要两个md返回 0e 就会被认为是 0的多少多少次方,于是 0=0 就诞生了。。。
嗯~ php真有你的
提交答案
url
?kkeyey1=240610708&kkeyey2=QNKCDZO成功获得 flag
然后去看了一下题解,看看有没有其他做法,然后看到了有
url
?kekeyy1[]=1&kkeyey2[]=1的做法,一开始没有理解,随后去自己写了一下,会发现如果 md5 这个函数传参不是字符串,而是数组的话会返回 null ,并且不会结束程序,只是简单的爆 warning。。。于是 null = null 诞生了
嗯~ 感谢php让我找到工作