[极客大挑战 2020]Roamphp1-Welcome

[极客大挑战 2020]Roamphp1-Welcome

打开是一个网页无法运作的网页， 发现了HTTP ERROR 405

百度405得

bp抓包发现网页本身是GET请求，将其改为POST请求放包

放包后页面就给出了源码：

 <?php
error_reporting(0);
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
header("HTTP/1.1 405 Method Not Allowed");
exit();
} else {
    
    if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){
        show_source(__FILE__);
    }
    else if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){
        phpinfo();  // collect information from phpinfo!
    }
} 

审计代码得知，我们需要post两个值，分别是roam1和roam2，并且要让这两个值不相等，同时还要使这两个值通过sha1函数比较两者使两者相等。这里利用sha1函数的漏洞来绕过，即sha1函数无法处理数组类型，会报错并返回NULL，因此传入的两个是数组的时候就直接相等。构造payload：roam1[]=1&roam2[]=2

进入phoinfo()界面，直接Ctrl + F，全局搜索flag

 至此结束，撒花