NSSCTF babyphp

开启环境:

先过第一个if，需要a不含数字而且intval取整数

intval:通过使用指定的进制 base 转换（默认是十进制），返回变量 value 的 int 数值。 intval() 不能用于 object，否则会产生 E_WARNING 错误并返回 1。

echo intval(array()); // 0

echo intval(array('foo', 'bar')); // 1

传入数组就能过掉第一个if

第三个if，由于md5函数无法处理数组,会返回nul

b1[]=1&b2[]=12

md5(b1[]=1) === md5(b2[]=1)

第四个if，需要传入值是字符串且md5值相等

弱判断下，0e开头的数等于0，所以使两端的md5值都为0e开头即可

md5哈希之后都是0e开头的：

QLTHNDT

0e405967825401955372549139051580

QNKCDZO

0e830400451993494058024219903391

s878926199a

0e545993274517709034328855841020

c1=QLTHNDT&c2=QNKCDZO

payload:

a[]=1&b1[]=2&b2[]=12&c1=QLTHNDT&c2=QNKCDZO