bugku web 备份是个好习惯

打开题目是这个样子的

查看源码后也没有获得线索
题目的名字是 备份是个好习惯
考虑从备份下手
dirsearch一下

可以看到确实是有备份文件的

愣着干啥，打开看啊

接下来就是代码审计

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";                          //引入flag.php文件代码
ini_set("display_errors", 0);                     //和error_reporting(0)一样，不显示（关闭）错误报告
$str = strstr($_SERVER['REQUEST_URI'], '?');      //这里strstr()用来查找字符串的首次出现，函数里面的 $_SERVER['REQUEST_URI']是取得当前URL的 路径地址，从'?'处截断，只取后面的（包括'？'）字符串
$str = substr($str,1);                            //去掉'?'
$str = str_replace('key','',$str);                //把字符串中的'key'替换为空,类似这样的可以用kkeyey绕过
parse_str($str);                                  //parse_url解析 URL，返回其组成部分，这里的url就是上面取出的字符串，比如'key1=a&key=2'；会得到$a=a;$b=b 
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){  //如果md5加密后的key1=key2并且原来的key1不等于key
    echo $flag."取得flag";                        //返回flag
}
?>

注意：
1、include_once() 语句和include() 语句的区别，include_once() 语句是指在脚本执行期间包含并运行指定文件。此行为和 include() 语句类似，唯一区别是如果该文件中的代码已经被包含了，则不会再次包含。include_once() 用于在脚本执行期间同一个文件有可能被包含超过一次的情况下，想确保它只被包含一次以避免函数重定义，变量重新赋值等问题。
2、strstr 获得URI从’?‘往后(包括’?’)的字符串 stristr 同strstr用法一样，不区分大小写。
3、最后需要得到key1,key2不相等而二者md5相等，是一个典型的php弱类型漏洞中的md5绕过，可以参考一下这两篇博客

https://cloud.tencent.com/developer/article/1046701

https://www.cnblogs.com/Mrsm1th/p/6745532.html

4、php是一个弱类型的语言，再php中"=="在进行比较时不看数值的类型，会将字符串类型转化成相同，再比较
5、这里要构造kkeyey这样的变量名，来绕过对关键词key的过滤。
6、对于php弱类型中的md5绕过

想要满足这个判断只需要构造出MD5值为0e开头的字符串，这样的话弱类型比较会认为是科学技术法，0的多少次方都是0，因此可以绕过

有一些字符串的MD5值为0e开头，这里记录一下

QNKCDZO
240610708
s878926199a
s155964671a
s214587387a

最后构造playload：?kkeyey1=QNKCDZO&kkeyey2=240610708