BUUCTF [极客大挑战 2020] Roamphp1-Welcome

考点：

1. POST传参方式
2. sha1()不能加密数组

启动题目：

等了一阵子，一直是这样，查阅其他wp得知，原题中提示有：换一种请求方式
使用BurpSuite抓去数据包：

将传参方式修改为POST，发送数据包，得到题目源码：

error_reporting(0);
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
header("HTTP/1.1 405 Method Not Allowed");
exit();
} else {if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){show_source(__FILE__);}else if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){phpinfo();  // collect information from phpinfo!}
}

源码分析：

• 若传参方式不为POST，则返回405
• POST方式传入参数roam1和roam2的值
• 俩变量的值不能相等，但sha1()加密后的值相等

因为sha1()不能加密数组，所以构造payload：

roam1[]=1&roam2[]=2

传参后得到进入**phpinfo()**页面：

搜索即可得到flag：