打开链接,开始审计。
<?php
error_reporting(0);
include("flag.php");
$hashed_key = 'ddbafb4eb89e218701472d3f6c087fdf7119dfdd560f9d1fcbe7482b0feea05a';
$parsed = parse_url($_SERVER['REQUEST_URI']);
if(isset($parsed["query"])){
$query = $parsed["query"];
$parsed_query = parse_str($query);
if($parsed_query!=NULL){
$action = $parsed_query['action'];
}
if($action==="auth"){
$key = $_GET["key"];
$hashed_input = hash('sha256', $key);
if($hashed_input!==$hashed_key){
die("<img src='cxk.jpg'>");
}
echo $flag;
}
}else{
show_source(__FILE__);
}?>
解释一下函数:
parse_url — 解析 URL,返回其组成部分。题里只取了query,也就是你传的参数。
我再解释一下,看这个,还不懂就没办法了。
第二个函数:
parse_str — 将字符串解析成多个变量
<?php
$str = "first=value&arr[]=foo+bar&arr[]=baz";
parse_str($str);
echo $first; // value
echo $arr[0]; // foo bar
echo $arr[1]; // baz
parse_str($str, $output);
echo $output['first']; // value
echo $output['arr'][0]; // foo bar
echo $output['arr'][1]; // baz
?>
注意:这个函数是没有返回值的,也就是说,
$parsed_query = parse_str($query);
if($parsed_query!=NULL){
$action = $parsed_query['action'];
}
这句话,完全就是迷惑人的,没有什么用,你要做的,就是利用parse_str()的变量覆盖漏洞。
if($action==="auth"){
$key = $_GET["key"];
$hashed_input = hash('sha256', $key);
if($hashed_input!==$hashed_key){
die("<img src='cxk.jpg'>");
}
echo $flag;
我们只要传递action=auth,paesr_str()这个函数,就会把action变成一个变量,让后让它等于auth。再传递一个变量,key=(任何数,以qwe为例)qwe,代码会对它进行哈希加密,并把结果与$hashed_key作比较,如果为真,则出flag,所以我们只要在传递一个参数$hashed_key,把原来的给覆盖掉,并让它等于你传递的key哈希加密后的结果,就可以了。