解題流程

0、打開網(wǎng)頁

發(fā)現(xiàn)其內(nèi)有一個鏈接
1、點擊鏈接，查看PHP源代碼

<?php if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ // 檢測以GET方式傳入的三個參數(shù) v1、v2、v3$v1 = $_GET['v1']; // 變量v1等于傳入的參數(shù)v1$v2 = $_GET['v2']; // 變量v2等于傳入的參數(shù)v2$v3 = $_GET['v3']; // 變量v3等于傳入的參數(shù)v3if($v1 != $v2 && md5($v1) == md5($v2)){ // v1不等于v2，并且MD5加密后的v1等于v2（典型的MD5碰撞，隨意在網(wǎng)上搜索兩個值就可以）if(!strcmp($v3, $flag)){ // 這里是用來比較字符串，但是查了一下，這個函數(shù)當接受到不符合字符串類型的參數(shù)就會發(fā)生錯誤，并返回0，比如數(shù)組echo $flag;}} } ?>

2、代碼審計，構(gòu)造payload
我們需要構(gòu)造三個參數(shù)：v1，v2，v3，其內(nèi)v1和v2需要值不同且md5的值相同，利用md5函數(shù)的特性，如果使用一個不可md5的數(shù)據(jù)類型傳入的話那么md5函數(shù)將返回false，這個也是返回值，題目要求的是md5函數(shù)的返回值相等，所以就可以用兩個值不同但不可md5的數(shù)據(jù)類型傳入即可

這里我們使用數(shù)組進行繞過，令v1[]=1, v2[]=2

繼續(xù)分析，第二個是strcmp函數(shù)，需要v3和flag的值相同才返回flag的值，我們依舊利用函數(shù)特性，strcmp函數(shù)如果出錯，那么它的返回值也會是0，和字符串相等時返回值一致，

依舊使用數(shù)組繞過，令v3[]=3，因為strcmp接收到不符合字符串類型的參數(shù)會發(fā)生錯誤

3、上傳最后payload：http://114.67.246.176:16109/?v1[]=1,&&v2[]=2&&v3[]=3
或者



得到

總結(jié)

以上是生活随笔為你收集整理的BugkuCTF-WEB题前女友的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。