解題流程

0、打開網(wǎng)頁

發(fā)現(xiàn)其內(nèi)有一個(gè)鏈接
1、點(diǎn)擊鏈接，查看PHP源代碼

<?php if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ // 檢測以GET方式傳入的三個(gè)參數(shù) v1、v2、v3$v1 = $_GET['v1']; // 變量v1等于傳入的參數(shù)v1$v2 = $_GET['v2']; // 變量v2等于傳入的參數(shù)v2$v3 = $_GET['v3']; // 變量v3等于傳入的參數(shù)v3if($v1 != $v2 && md5($v1) == md5($v2)){ // v1不等于v2，并且MD5加密后的v1等于v2（典型的MD5碰撞，隨意在網(wǎng)上搜索兩個(gè)值就可以）if(!strcmp($v3, $flag)){ // 這里是用來比較字符串，但是查了一下，這個(gè)函數(shù)當(dāng)接受到不符合字符串類型的參數(shù)就會(huì)發(fā)生錯(cuò)誤，并返回0，比如數(shù)組echo $flag;}} } ?>

2、代碼審計(jì)，構(gòu)造payload
我們需要構(gòu)造三個(gè)參數(shù)：v1，v2，v3，其內(nèi)v1和v2需要值不同且md5的值相同，利用md5函數(shù)的特性，如果使用一個(gè)不可md5的數(shù)據(jù)類型傳入的話那么md5函數(shù)將返回false，這個(gè)也是返回值，題目要求的是md5函數(shù)的返回值相等，所以就可以用兩個(gè)值不同但不可md5的數(shù)據(jù)類型傳入即可

這里我們使用數(shù)組進(jìn)行繞過，令v1[]=1, v2[]=2

繼續(xù)分析，第二個(gè)是strcmp函數(shù)，需要v3和flag的值相同才返回flag的值，我們依舊利用函數(shù)特性，strcmp函數(shù)如果出錯(cuò)，那么它的返回值也會(huì)是0，和字符串相等時(shí)返回值一致，

依舊使用數(shù)組繞過，令v3[]=3，因?yàn)閟trcmp接收到不符合字符串類型的參數(shù)會(huì)發(fā)生錯(cuò)誤

3、上傳最后payload：http://114.67.246.176:16109/?v1[]=1,&&v2[]=2&&v3[]=3
或者



得到

總結(jié)

以上是生活随笔為你收集整理的BugkuCTF-WEB题前女友的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。