web题目实操 5(备份文件和关于MD5($pass,true)注入的学习)

已于 2024-04-24 23:34:25 修改
阅读量695 收藏 6
点赞数 25
文章标签: web
于 2024-04-24 23:25:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Z11762/article/details/138163002
版权

1.[ACTF2020 新生赛]BackupFile

(1)打开页面后根据提示是备份文件

(2)查看源码发现啥都没有

(3)这里啊直接用工具扫描,可以扫描到一个文件名为:/index.php.bak的文件

(4)然后访问这个连接,然后把备份文件下载下来然后访问这个连接

(5)发现是代码审计,记事本打开查看它的php文本

(6)在PHP中:
          = = 为弱相等,即当整数和字符串类型相比较时。会先将字符串转化为整数然后再进行比较。比如a=123和b=123admin456进行= =比较时。则b只会截取前面的整数部分。即b转化成123。
所以,这里的a = = b是返回True。
所以这里我们只需要提供一个参数?key=123就可以拿到flag了

2.[RoarCTF 2019]Easy Calc

(1)打开 环境后显示一个计算的页面(2)发现有一个calc.php文件,并且提示设置了waf
先尝试访问calc.php(3)打开calc.php文件,发现是它之下的另一个源码  它的意思应该是用get方式传参赋值给num,并且使用正则表达式进行了过滤,只要能绕过过滤,就可以通过eval进行任意php语句

(4)尝试直接?num=phpinfo()

禁止访问,应该是waf起了作用,根据大佬们的wp知道可以通过在num前加一个空格进行绕过
原理:php解析规则:当php进行解析时,如果变量名前面有空格,php会自动去掉前面的空格再进行解析,假如waf不允许num变量接收字母,那么使用 num就可以,而php解析时就会自动把空格去掉

(5)尝试? num=phpinfo()

(6)使用scandir查看目录中的内容,找到存有flag的文件

          ? num=var_dump(scandir(chr(47)))

var_dump()方法是判断一个变量的类型与长度,并输出变量的数值,如果变量有值输的是变量的值并回返数据类型.
此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。

(7)发现貌似flag文件,直接用相同方式访问,打开即可得到flag

3.[极客大挑战 2019]BuyFlag

(1)打开环境后如下(2)浅看了一眼啥也没有的样子,直接看看源代码,貌似也不是那么有用

(3)再次回来发现右上角有菜单,点进去看到它简述了flag获取  中文意思就是:如果你想要买这个flag:你必须是来自CUIT的学生;你必须输入正确的密码

(4)再看看这里的源码  

 阅读源代码可以得出:
        变量password使用POST的传参方式进行传参,不难看出来,只要$password == 404为真,那么,就可以绕过。函数is_numeric()判断其中的参数是数字还是其他,如果是数字则判断为真,否则为假。这里我选择传入的参数为404a

(5)这里我直接用hackbar传个参

(6)然后用BP抓包

(7)看了一下抓包情况,关于用户的提示只有在cookie:user=0,那我们将其换为1试试

(8)可以看到提示——说我们的身份及密码正确,黑客,买flag,那我们再根据提示,支付money,使用post传参password=404a&money=100000000

(9)然后他它提示说长度太长了,那就换个短点的试试

(10)然后它又说我们的money不够

查看一下php版本,看看有没有啥可以利用的点

(11).可以看到PHP的版本为:PHP/5.3.3,可以利用函数strcmp(),使用数组绕过password=404a&money[]=1000  然后成功拿到flag

4.[BJDCTF2020]Easy MD5

(1)打开环境后是一个提交页面,尝试了各种数据提交,发现啥有用的信息都没有,(2)看看源码也没有啥有用信息

(3)决定抓包看看

(4)得到有用信息

Hint: select * from 'admin' where password=md5($pass,true)

可知,数据再存入数据库之前使用了md5加密

我们在输入框中提交ffifdyop,会出现如下页面:

(5)这里使用:科学计数法(0e绕过)(绕过思路2)的方法绕过

构造payload:

http://3b2544a9-a3eb-4b09-87a8-f28609d74d0d.node4.buuoj.cn:81/levels91.php?a=QNKCDZO&&b=240610708

(6)最后是一个需要post提交的强比较,使用数组绕过  param1[]=2&param2[]=3

绕过之后即可解出flag

原理:

ffifdyop经过md5加密后会变成276f722736c95d99e921722cf9ed621c

再转换为字符串:'or'6(乱码)  即  'or'66�]��!r,��b

预想,数据库查询语句应为:

SELECT * FROM xxx WHERE username = 'admin' and password = ".md5($password,true)."
 而在mysql中,在用作布尔型判断时,以数字开头的字符串会被当成整型,不过由于是字符串,因此后面必须要有单引号括起来的,比如:‘xxx’or’6xxxxxx’,就相当于’xxx’or 6,就相当于 'xxx’or true,所以返回值是true。

所以,此时查询语句就会变成:

select * from xxx where user='amdin' and password=''or'6xxxx'
也就是,password=' ' or true=true

mzxf
关注
  • 25
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net中MD5 16位和32位加密函数
01-01
public string md5(string str,int code) { if(code==16) //16位MD5加密(取32位加密的9~25字符) { return System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(str,”MD5″&#...
Winform中进行MD5加密的实例
08-31
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它可以将任意长度的信息转化为固定长度的摘要,通常用于数据的完整性校验和密码加密。本文将详细介绍如何在Winform应用中实现MD5加密。 首先,你需要...
sql注入md5($password,true)
热门推荐
March97的博客
07-27 2万+
       前几天做了一道CTF的题目,是在”实验吧“的一道简单的web题目,当然这道题目很多人都解出来了,因为它的.php文件名就是答案。        他的网页链接里面的php文件名就是’ffifdyop.php‘。          上面的’ffifdyop‘就是我们要输入的密码。哦,忘了介绍,这道题目只需要表单提交密码。       当然如果直接输入ffifdyop,提交后就能出...
password=md5($pass,true)绕过、弱类型、MD5强碰撞
sGanYu
09-27 4018
在输入框查询任何内容都返回为空,尝试sql注入无果,用bp抓包 select * from 'admin' where password=md5($pass,true) 确实执行了我们的查询,但是在通过where时,条件不匹配,导致报错 需要password=md5($pass,true)条件为真时,才会执行select * form admin md5()函数会将我们输入的值,加密,然后转换成16字符的二进制格式,由于ffifdyop被md5加密后的276f722736c95d...
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2236
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
[BJDCTF2020]Easy MD5(超级详细)
最新发布
weixin_73560599的博客
07-29 2487
这题涉及的知识点挺多的,包括md5($pass,true)的注入,php的弱类型比较以及强类型比较 尤其是MD5注入 非常有意思涉及的内容挺多,开阔视野以及知识
PHP中MD5加密的简单绕过及基于MD5加密的SQL注入
Landasika的博客
12-10 5308
部分内容参考于: sql注入md5($password,true)_March97的博客-CSDN博客_md5($pass,true) 目录 一、简介 二、基于PHP漏洞的绕过 1、MD5弱比较“==”绕过 2、MD5强比较“===”绕过 三、有关SQL注入MD5绕过 1、起因 2、注入原理 一、简介 md5() 函数计算字符串的 MD5 散列。 MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来..
JAVA-MD5pass_src.rar_MD5 JAVA_des算法_java 加密_加密算法
09-23
本文将深入探讨MD5和DES两种加密算法,以及它们在Java中的实现。首先,我们来看MD5(Message-Digest Algorithm 5),它是一种广泛使用的哈希函数,产生一个128位(16字节)的散列值,通常用32个十六进制数字表示。 ...
CentOS中使用Shell脚本实现每天自动备份网站文件和数据库并上传到FTP中
09-15
本文将详细介绍如何在CentOS操作系统中使用Shell脚本来自动化备份网站文件和数据库,并将这些备份上传到FTP服务器。这个方法同样适用于其他Linux发行版。 首先,我们需要安装必要的软件组件: 1. **Email发送程序*...
MD5加密解密生成器
03-28
md5md5md5($pass))、md5md5md5($pass)))、MD5MD5($pass)) MD5MD5MD5($pass)))、sha1、md4、mysql、mysql5、md5($pass.$salt) md5($salt.$pass)、md5md5($pass)。$salt)、sha1...
MD5绕过
m0_64236521的博客
02-03 758
md5绕过
本地php怎么越过账号密码,PHP中md5绕过
weixin_28792813的博客
03-11 358
一、md5($password,true)的SQL注入问题这里要提到一下MySQL中的数值比较问题。1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。select if(1="1abcd","等于","不等于") as test;if(exp1,stat1,stat2)类似于高级语言中三元运算符。当exp1为true的是否返回stat1,为fals...
php mysql 绕过_PHP中md5绕过
weixin_31221157的博客
02-28 303
一、md5($password,true)的SQL注入问题这里要提到一下MySQL中的数值比较问题。1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。select if(1="1abcd","等于","不等于") as test;if(exp1,stat1,stat2)类似于高级语言中三元运算符。当exp1为true的是否返回stat1,为fals...
CTF常见MD5
m0_52149675的博客
05-17 882
[BJDCTF2020]Easy MD5
PHP中MD5常见绕过
iczfy585的博客
05-12 1万+
PHP中md5的绕过md5($password,true)的SQL注入问题两变量值不相等,md5计算散列值后相等的绕过MD5碰撞 函数: md5($string,bool): 得到一个字符串散列值。 其中第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。 若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 md5($password,true)的SQL注入问题 这里需要注意一下MYSQL中的一些数值比较的特征。 1.当数字和字符串比较时,若字符
[BJDCTF2020]Easy MD5——Login--password='".md5($pass,true)."'绕过md5进行注入
qq_45521281的博客
04-29 1498
Login–password=’".md5($pass,true)."’ 进入题目,有一个输入框,让你输入密码,发现输入啥都没变化: 源码中一点线索也没有。 我们随便输入并抓个包看看又什么秘密: 发现提示hint: select * from 'admin' where password=md5($pass,true), 或者在开发这里面:看到响应头有提示: 现在就可以确定是个sql注入了...
md5($str,true注入
cherrie007的博客
09-17 3610
md5加密注入
MD5加密后的SQL 注入
greyfreedom的专栏
05-19 1万+
转自:http://www.joychou.org/index.php/web/SQL-injection-with-raw-MD5-hashes.html?utm_source=tuicool 今天看到 $sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'"; 这样一个sql,其实可以注入。 思路比较
MD5加密下的SQL注入
qq_35900276的博客
11-03 5468
转自:http://www.joychou.org/index.php/web/SQL-injection-with-raw-MD5-hashes.html?utm_source=tuicool 做题的时候看到下面这个句子: $sql="select password from users where password='".md5($password,true)."'" 这里面的md5
$pass = md5($post['user_name'] . $post['password']. "rtywerqwe" );
05-16
这段代码是将用户输入的用户名和密码加上固定字符串 "rtywerqwe" 后进行 MD5 加密,并将结果存储在变量 $pass 中。这种做法在一定程度上增加了用户密码的安全性,因为即使密码被盗,攻击者也无法直接获得真实的密码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值