ctf web 备份是个好习惯

题目：

打开网址出现：

看着像是两段重复的md5摘要，用解码工具解码，得到：

看出似乎是对空字符生成了md5码并输出，回头看题目描述：备份是个好习惯，猜测是查看备份文件

尝试输入网址 http://114.67.175.224:18504/index.php.bak，果然得到一个备份文件：index.php.bak

删除文件后缀名 .bak，打开文件：

php代码解释：

第11行：$str = strstr($_SERVER['REQUEST_URI'], '?');

$_SERVER[] 是预定义超全局数组变量的一种，是一个包含了诸如头信息(Header),路径(path),以及脚本位置(script location)等信息的数组

$_SERVER['RWQUEST_URI']是指访问的整个url网址，例如访问 

"http://114.67.175.224:18504?key=123&b=4"   （以下举例都先用该url)

则$_SERVER['RWQUEST_URI']=  "http://114.67.175.224:18504?key=123&b=4"

strstr()函数：搜索一个字符串在另一个字符串中的第一次出现的位置，返回字符串的其余部分（从匹配点）。

因此第11行代码含义就是将整个url中?之后的部分赋予$str变量，如对于上诉网址，$str="?key=123&b=4";

第12行：$str = substr($str,1);

substr(string,start,length)，函数返回字符串string的一部分，start为开始位置（默认开始为0)，length为返回的字符串长度。

所以第十二行含义是$str="key=123&b=4" （按以上url）

第13行：$str = str_replace('key','',$str);

str_replace(find_s,replace,string),指用字符串relpace代替string中出现的字符串find_s，

则,第13行代码的含义是将$str中出现的所有"key"代替成空字符，结果如：$str="=123&b=4"

第14行：parse_str($str);

parse_str()函数可以将一串字符串解析成多个变量，按上例url，结果为：

$=123   $b=4

通过第15行和第17行输出了$key1和$key2的md5码，因为函数没有为$key1和$key2赋值。结合起初打开网页看到的两串解码为空字符的md5码，$key1和$key2均为空字符

根据这个if语句，可以推出当$key1和$key2的md5码相同，而$key1和$key2不同时，会输出flag，

因此可以结合函数输入网址：http://114.67.175.224:18504?key1=...&key2=..."为key1与key2赋值，

但由于第13行，会将字符串中的key字符替换，这里使用双写绕过替换规则:
即字符串写成"kkeyey1=...&kekeyy2=..."时，该函数只会替代源字符串的key，最终得到想要的结果"key1=...&key2=..."

进行到if语句判断，这里利用了php弱类型的漏洞：MD5绕过的技巧_网安溦寀的博客-CSDN博客

对于if(md5($key1) == md5($key2)），想要满足这个判断只需要构造出MD5值为0e开头的字符串，弱类型比较会认为字符串使用了科学技术法，0的多少次方都是0，因此可以绕过

因此只要使得$key1与$key2是两个不同的但是MD5码都是0e开头的字符串即可

输入网址：http://114.67.175.224:18504?kkeyey1=QNKCDZO&kekeyy2=240610708

得到结果：