这是一道非常经典的 PHP 弱类型比较中的 sha1() 碰撞题目。
核心的代码逻辑在这两行:
php
if(sha1($v1) == sha1($v2)) {
echo $flag;
}这里有个致命的漏洞点:
sha1() 函数无法处理数组:如果给 sha1() 传入一个数组,它不会报错,而是会返回 NULL。
利用数组绕过(最简单、最常用)
在 PHP 中,如果你向 sha1() 函数传入一个数组(例如 ?v2\[\] = 1),sha1() 无法对数组进行哈希计算,会直接返回 NULL 并触发一个警告(Warning)。
当 v1是一个数组时,sha1(v1 是一个数组时,sha1(v1是一个数组时,sha1(v1) 返回 NULL。
当 v2是一个数组时,sha1(v2 是一个数组时,sha1(v2是一个数组时,sha1(v2) 返回 NULL。
最终比较变为:NULL == NULL,结果为 true。
构造 Payload
GET 请求参数(加在 URL 后面):?v2\[\]=2
POST 请求体(放在 Body 中):v1\[\]=1
