[极客大挑战 2019]BuyFlag
可以根据菜单跳转到支付页面:
buy flag有三个要求:money、password和身份,抓包看一看,要通过POST传参给出password和money,以及Cookie处可以修改user的值(为0的时候提示Only Cuit's students can buy the FLAG,即当前身份不符合,那就置为1):
user置为以后身份就符合条件了,接下来就是传参了:
~~~post money and password~~~
if (isset($_POST['password'])) {
$password = $_POST['password'];
if (is_numeric($password)) {
echo "password can't be number</br>"; //password不能为数字
}elseif ($password == 404) { //弱相等,可利用带数字的字符串绕过
echo "Password Right!</br>";
}
密码正确,提示什么太长,难道是对money的位数有限制,用科学计数法绕过:
[BJDCTF2020]Easy MD5
抓包查看响应头:
Hint: select * from 'admin' where password=md5($pass,true)
即select语句可以看成下面这种形式:
Hint: select * from 'admin' where password='XXXXXXXXX'
我们希望能够构造万能密码等进行sql注入:
Hint: select * from 'admin' where password='XXX' or true
即 md5($pass,true) == 'XXX' or true
另外,在在mysql里面,在用作布尔型判断时,以数字开头的字符串会被当做整型数:
即 'XXX' or true 和 ‘XXX’ or '1XXX' 是同样的意义
故我们需要写脚本找出一个$pass经过md5()函数后的结果为:‘XXX’ or '1XXX'
<?php
//'ffifdyop'是网上已经有的
$pass = 'ffifdyop';
$str = md5($pass,true);
echo $str
?>
//可以写脚本跑,但是由于碰撞次数过多,我一次也没跑出来
输入‘ffifdyop’(不带引号),跳转到下面这个界面,查看源代码:
这里考查的是弱相等绕过(两个等号是弱相等,三个等号是强相等):
PHP的字符串和数字比较时,会将字符串先转化成数字类型在进行比较:
- 字符串和数字:字符串以数字开头时,以开头数字(到字母出现截止)作为转换结果;开头不是数字的字符串或空(null),则转换为0 :
'12 ' == 12 //true
'12abc' == 12 //true
'adm2in' == 0 //true- 布尔值与任意值比较,布尔值true和任意字符串都相等,除了0:
'way' == true //true
'false' == true //true
234 == true //true
0 == false //true- hash值和字符串“0”比较,因为当hash开头为0e后全为数字的话,进行比较时就会将其当做科学计数法来计算,用计算出的结果来进行比较:
md5($str1)=0e420233178946742799316739797882
md5($str1) == ’0‘ //true
解决弱相等的关键就是:找出md5值都是两个0e开头的开头的:
Payload:https://e1308194-068c-4e8b-9dc2-1bdc47a1f818.node5.buuoj.cn:81/levels91.php?a=QNKCDZO&b=240610708
此处是强相等绕过,利用数组绕过(注意此处是POST传参):