前言
文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!
细节可能还需参考一下师傅这篇文章:
https://www.cnblogs.com/kuaile1314/p/11968108.html
弱比较
if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){
die("success!");
}
在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0
为true绕过
payload:
a=QNKCDZO&b=s878926199a
常用md5加密后为0的字符串:
240610708,aabg7XSs,aabC9RqS
s878926199a
强比较
if($_POST['a']!==$_POST['b']&& md5($_POST['a'])===md5($_POST['b'])){
die("success!");
}
像这样的强比较,上面的方法就失效了,但是如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null
为true绕过
payload:
a[]=1&b[]=2
强碰撞
if((string)$_POST['a']!==(string)$_POST['b'] && md5($_POST['a'])===md5($_POST['b'])){
die("success!");
}
到强碰撞这里,它用string强行转换成字符串,从而限制了数组绕过这方法,只能输入字符串
先上payload:
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
这一大长串的编码,他们的md5值是相等的,原理是将hex字符串转化为ascii字符串,并写入到bin文件
考虑到要将一些不可见字符传到服务器,这里使用url编码
以下脚本均为开头那篇师傅的文章摘抄下
这个是将hex写入到bin文件的python脚本源码:
#!coding:utf-8
hexString1 = '4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa200a8284bf36e8e4b55b35f427593d849676da0d1555d8360fb5f07fea2'
hexString2 = '4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa202a8284bf36e8e4b55b35f427593d849676da0d1d55d8360fb5f07fea2'
hexList1 = []
intList1 = []
asciiString1 =''
while True:
intString1 = hexString1[0:2]
hexString1 = hexString1[2:]
hexList1.append(intString1)
if (hexString1 == ''):
break
for i in hexList1:
intList1.append(int(i,16))
for j in intList1:
asciiString1 += chr(int(j))
f = open('1.bin','w')
f.write(asciiString1)
f.close()
hexList2 = []
intList2 = []
asciiString2 =''
while True:
intString2 = hexString2[0:2]
hexString2 = hexString2[2:]
hexList2.append(intString2)
if (hexString2 == ''):
break
for i in hexList2:
intList2.append(int(i,16))
for j in intList2:
asciiString2 += chr(int(j))
f = open('2.bin','w')
f.write(asciiString2)
f.close()
这个是将bin文件内容再次url编码的python脚本源码:
#!coding:utf-8
import urllib
urlString1=''
urlString2 = ''
for line in open('1.bin'):
urlString1 += urllib.quote(line)
for line in open('2.bin'):
urlString2 += urllib.quote(line)
print urlString1
print urlString2
这题也可以直接用python调用open并读取文件来传参:
import requests
p1 = open('1.bin')
p2 = open('2.bin')
data = {'param1':p1,'param2':p2}
r = S.post(url,data = data)
print r.text
我看了师傅的文章后还是很迷,因为不管怎么样,他们的字符串一直都是相同的,甚至连payload的参数都是一样的,但就是能绕过比较,如果有懂这方面的师傅,请务必要教教我(。・ω・。)