bugku ctf 前女友(SKCTF)

分手了，纠结再三我没有拉黑她，原因无它，放不下。

终于那天，竟然真的等来了她的消息：“在吗？”

我神色平静，但颤抖的双手却显示出我此刻的激动。“怎么了？有事要我帮忙？”

“怎么，没事就不能联系了吗？”结尾处调皮表情，是多么的陌生和熟悉……

“帮我看看这个...”说着，她发来一个链接。

不忍心拂她的意就点开了链接，看着屏幕我的心久久不能平静，往事一幕幕涌上心头......

。。。。。。

“我到底做错了什么，要给我看这个！”

“还记得你曾经说过。。。。。。。。”

PHP是世界上最好的语言

打开之后发现全是文字

一位大神说过，一个页面如果只有文字的话那么极有可能找到源码。

那么会发现 链接

发现源码

[code]<?php
if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){
$v1 = $_GET['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
if($v1 != $v2 && md5($v1) == md5($v2)){
if(!strcmp($v3, $flag)){
echo $flag;
}
}
}
?>

我们需要构造三个参数，v1，v2，v3，其中v1和v2需要值不同但md5的值相同，看起来是找md5碰撞的问题，但是问题却不在这里，利用md5函数的特性，如果使用一个不可md5的数据类型传入的话那么md5函数将返回false，这个也是返回值，题目要求的是md5函数的返回值相等，所以就可以用两个值不同但不可md5的数据类型传入即可。

此处我们使用v1[]=1&&v2[]=2。第二个是strcmp函数，需要v3和flag的值相同才返回flag的值，貌似是一个鸡生蛋问题，但是我们依旧使用函数特性，strcmp函数如果出错，那么它的返回值也会是0，和字符串相等时返回值一致。那么如何出错呢，猜测不可比较时出错，那么传入一个数组试试，所以最后构造参数并用get方法传入

http://118.89.219.210:49162/?v1[]=1&&v2[]=2&&v3[]=3，得到flag。

为

SKCTF{Php_1s_tH3_B3St_L4NgUag3}