Writeup

题目思路：一看到题目，就知道“备份是个坏习惯”，肯定考的是网站管理员喜欢将网站源码备份在IP下面或者网站下面。想着应该搞个扫描工具去扫目录。
实际上，我没扫目录，看了看评论区，说是有个index.php.bak访问即下载。
我太菜了呀，百度搜了一下bak是个啥

“备份”！于是更加确定照着上面那个思路做。
访问index.php.bak下载下来一个php源码，以下将对源码进行审计。又访问了index.php。
又马后炮看了以下为什么是.php嘞，于是关注了以下浏览器内置的抓包header显示了是php。想着index.php很好猜，也很好扫到。

代码审计

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);
$str = strstr($_SERVER['REQUEST_URI'], '?');
$str = substr($str,1);
$str = str_replace('key','',$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";
}
?>

PHP str_replace函数

PHP parse_str函数

PHP include_once函数

PHP ini_set函数

PHP strstr函数

PHP substr函数

php $_SERVER['REQUEST_URI'] 函数

<?php
/**
 * Created by PhpStorm.
 * User: Norse
 * Date: 2017/8/6
 * Time: 20:22
*/

include_once "flag.php";
ini_set("display_errors", 0);

// REQUEST_URI: https://www.baidu.com/baidu?kkeyey1=value1&kkeyey2=value2

$str = strstr($_SERVER['REQUEST_URI'], '?');
// ?kkeyey1=value1&kkeyey2=value2

$str = substr($str,1);
// kkeyey1=value1&kkeyey2=value2

$str = str_replace('key','',$str);
// key1=value1&key2=value2

parse_str($str);
echo md5($key1);
// value1

echo md5($key2);
// value2

if(md5($key1) == md5($key2) && $key1 !== $key2){
    echo $flag."取得flag";
}
?>

构造URL参数

?kkeyey1=QNKCDZO&kkeyey2=240610708

拿到flag截图