打开题目连接,获得源码:
分析代码:
- $_GET[‘id’] = urldecode($_GET[‘id’]):需要注意$_GET本身会对用户传来的参数进行一次url解码,因此这相当于进行了两次url解码
- sha1( G E T [ ′ u n a m e ′ ] ) = = = s h a 1 ( _GET['uname']) === sha1( GET[′uname′])===sha1(_POST[‘passwd’]):需要uname和passwd的sha1值相同,且uname和passwd值不同
需要利用sha1()不能处理数组的漏洞,如果传入的值为数组,则sha1会返回NULL,因此只需让uname和passwd都为数组,等式成为NULL===NULL,成立
id值为margin,不需要进行url编码,直接赋值为margin
构建payload
flag当然不可能是xxxxx,应是被人破坏了?
这里给出正确flag(从其他writeup里找的)
flag{HACK_45hhs_213sDD}
