解题流程
0、打开网页
发现其内有一个链接
1、点击链接,查看PHP源代码
<?php
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ // 检测以GET方式传入的三个参数 v1、v2、v3$v1 = $_GET['v1']; // 变量v1等于传入的参数v1$v2 = $_GET['v2']; // 变量v2等于传入的参数v2$v3 = $_GET['v3']; // 变量v3等于传入的参数v3if($v1 != $v2 && md5($v1) == md5($v2)){ // v1不等于v2,并且MD5加密后的v1等于v2(典型的MD5碰撞,随意在网上搜索两个值就可以)if(!strcmp($v3, $flag)){ // 这里是用来比较字符串,但是查了一下,这个函数当接受到不符合字符串类型的参数就会发生错误,并返回0,比如数组echo $flag;}}
}
?>
2、代码审计,构造payload
我们需要构造三个参数:v1,v2,v3,其内v1和v2需要值不同且md5的值相同,利用md5函数的特性,如果使用一个不可md5的数据类型传入的话那么md5函数将返回false,这个也是返回值,题目要求的是md5函数的返回值相等,所以就可以用两个值不同但不可md5的数据类型传入即可
这里我们使用数组进行绕过,令v1[]=1, v2[]=2
继续分析,第二个是strcmp函数,需要v3和flag的值相同才返回flag的值,我们依旧利用函数特性,strcmp函数如果出错,那么它的返回值也会是0,和字符串相等时返回值一致,
依旧使用数组绕过,令v3[]=3,因为strcmp接收到不符合字符串类型的参数会发生错误
3、上传最后payload:http://114.67.246.176:16109/?v1[]=1,&&v2[]=2&&v3[]=3
或者
得到
...)
