BugKu：备份是个好习惯

解题过程

了解到备份二字，说明可能存在备份文件。

备份文件的好处是：浏览器无法解析带有备份后缀的文件，之后会直接提供用户下载到本地，用户通过去掉备份后缀打开可以查看页面源代码进行代码审计

通过查找，查到index.php.bak这个备份文件



在浏览器输入后下载到本地返现是PHP代码：

/**
* Created by PhpStorm.
* User: Norse
* Date: 2017/8/6
* Time: 20:22
*/
include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);
echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag."取得flag";
}
?>


这里就存在过滤了

• 代码截取了？后面的传参值


• 代码将key字符过滤成'' ,但是我们可以使用双写绕过


• parse_str是传入变量到str中去，解析str


• 之后是md5的加密

这里的问题就是，md5加密比较麻烦，但是md5不能解析数组，所以我们传入数组即可

传入变量：



flag就出来了