[BJDCTF 2020]easy_md5

发布时间:2023年12月25日

[BJDCTF 2020]easy_md5 wp

信息搜集

进入题目,页面内容如下:

在这里插入图片描述

查看源代码,没有发现什么有价值的信息。

提交查询时抓包,发包后出现提示:

在这里插入图片描述

给了一句 SQL 代码的提示。

经过 md5 加密变成万能密码

参考博客:https://www.cnblogs.com/tqing/p/11852990.html

select * from 'admin' where password=md5($pass,true)

一些字符串经过 MD5 加密后会变成万能密码的形式:

ffifdyop

在这里插入图片描述

129581926211651571912466741651878684928

在这里插入图片描述

所以这里理论上直接传入参数 password=ffifdyop 或者 password=129581926211651571912466741651878684928 就行,这里不知道为什么,burp 发包得到的返回结果始终是 200 OK ,只有去 web 页面测试才会跳转到 levels91.php 页面,而且只有 ffifdyop 这个 payload 测成功了,不知道是不是长度限制的问题。

MD5 加密弱比较和强比较的绕过

levels91.php 页面:

在这里插入图片描述

查看源代码,源代码中给出了这样一段注释信息:

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    header('Location: levell14.php');
-->
弱比较的绕过
科学记数法绕过

如果两个字符经 MD5 加密后的值为 0exxxxx 形式,就会被认为是科学计数法,且表示的是 0*10 的 xxxx 次方,还是零,都是相等的。
下列的字符串的 MD5 值都是 0e 开头的:

QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a

get 传参 ?a=QNKCDZO&b=240610708

数组绕过

get 传参 ?a[]=1&b[]=2

关于数组绕过的原理,我会详细解释一下,首先需要重新理解一下 URL 传参。

URL 传参

URL 传参的时候,可以直接传入参数:para=123

也可以用数组形式分段传入:para[]=1&para[]=2&para[]=3 分段传入的数据在服务器会被拼接成一个整体,即 123 ,这种传参方式与第一种没有区别。

还可以同一参数名多次传参:para=1&para=2&para=3 ,与前两种没有区别。

这就是为什么 URL 中可以用数组传参。

绕过原理

PHP 的 MD5 函数是无法处理数组的,在处理数组时会返回 NULL ,两边都返回 NULL ,那么就相等了。

条件

数组绕过是有条件的,PHP 8 是无法使用数组绕过的。

MD5 碰撞

直接找两个本身不一样但是 MD5 加密后一样的字符串。这个过程称为 MD5 碰撞。

payload

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

payload 来源

版权声明:本文为CSDN博主「小 白 萝 卜」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/EC_Carrot/article/details/109525162

绕过后跳转到 levell14.php 页面,其内容为:

<?php
    error_reporting(0);
    include"flag.php";
    highlight_file(__FILE__);
    if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    	echo $flag;
    } 
强比较的绕过

在弱比较的绕过中,后两种都是可以的。

数组绕过

原理在弱比较的绕过中已经讲了,这里直接上 payload :

POST 传参:param1[]=1&param2[]=2

拿到 flag :

在这里插入图片描述

MD5 碰撞

POST 传参:

param1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&param2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

拿到 flag :
在这里插入图片描述

文章来源:https://blog.csdn.net/m0_73612768/article/details/135198838
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。