PHP绕过MD5比较的各种姿势

最新推荐文章于 2024-06-02 23:36:37 发布
最新推荐文章于 2024-06-02 23:36:37 发布
阅读量3.9k 收藏 5
点赞数 5
分类专栏: php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49835838/article/details/108262089
版权

1.用==进行弱类型比较时, 可以通过两个0e开头后面纯数字的md5绕过

php在进行弱类型比较时,如果为字符串为纯数字,包括浮点数、科学计数法、十六进制数等,都会转化为数字类型再进行比较,利用这点,0e开头的科学计数法大小均为0,所有均相等,即可绕过

以下实例的md5均满足0e开头纯数字

byGcY

sonZ7y

240610708

s878926199a

s155964671a

s214587387a

s214587387a

s878926199a

QNKCDZO

aabg7XSs

aabC9RqS

 

2.碰撞出md5值相同的字符串

实例:

$s1 = "%af%13%76%70%82%a0%a6%58%cb%3e%23%38%c4%c6%db%8b%60%2c%bb%90%68%a0%2d%e9%47%aa%78%49%6e%0a%c0%c0%31%d3%fb%cb%82%25%92%0d%cf%61%67%64%e8%cd%7d%47%ba%0e%5d%1b%9c%1c%5c%cd%07%2d%f7%a8%2d%1d%bc%5e%2c%06%46%3a%0f%2d%4b%e9%20%1d%29%66%a4%e1%8b%7d%0c%f5%ef%97%b6%ee%48%dd%0e%09%aa%e5%4d%6a%5d%6d%75%77%72%cf%47%16%a2%06%72%71%c9%a1%8f%00%f6%9d%ee%54%27%71%be%c8%c3%8f%93%e3%52%73%73%53%a0%5f%69%ef%c3%3b%ea%ee%70%71%ae%2a%21%c8%44%d7%22%87%9f%be%79%6d%c4%61%a4%08%57%02%82%2a%ef%36%95%da%ee%13%bc%fb%7e%a3%59%45%ef%25%67%3c%e0%27%69%2b%95%77%b8%cd%dc%4f%de%73%24%e8%ab%66%74%d2%8c%68%06%80%0c%dd%74%ae%31%05%d1%15%7d%c4%5e%bc%0b%0f%21%23%a4%96%7c%17%12%d1%2b%b3%10%b7%37%60%68%d7%cb%35%5a%54%97%08%0d%54%78%49%d0%93%c3%b3%fd%1f%0b%35%11%9d%96%1d%ba%64%e0%86%ad%ef%52%98%2d%84%12%77%bb%ab%e8%64%da%a3%65%55%5d%d5%76%55%57%46%6c%89%c9%df%b2%3c%85%97%1e%f6%38%66%c9%17%22%e7%ea%c9%f5%d2%e0%14%d8%35%4f%0a%5c%34%d3%73%a5%98%f7%66%72%aa%43%e3%bd%a2%cd%62%fd%69%1d%34%30%57%52%ab%41%b1%91%65%f2%30%7f%cf%c6%a1%8c%fb%dc%c4%8f%61%a5%93%40%1a%13%d1%09%c5%e0%f7%87%5f%48%e7%d7%b3%62%04%a7%c4%cb%fd%f4%ff%cf%3b%74%28%1c%96%8e%09%73%3a%9b%a6%2f%ed%b7%99%d5%b9%05%39%95%ab";
$s2 = "%af%13%76%70%82%a0%a6%58%cb%3e%23%38%c4%c6%db%8b%60%2c%bb%90%68%a0%2d%e9%47%aa%78%49%6e%0a%c0%c0%31%d3%fb%cb%82%25%92%0d%cf%61%67%64%e8%cd%7d%47%ba%0e%5d%1b%9c%1c%5c%cd%07%2d%f7%a8%2d%1d%bc%5e%2c%06%46%3a%0f%2d%4b%e9%20%1d%29%66%a4%e1%8b%7d%0c%f5%ef%97%b6%ee%48%dd%0e%09%aa%e5%4d%6a%5d%6d%75%77%72%cf%47%16%a2%06%72%71%c9%a1%8f%00%f6%9d%ee%54%27%71%be%c8%c3%8f%93%e3%52%73%73%53%a0%5f%69%ef%c3%3b%ea%ee%70%71%ae%2a%21%c8%44%d7%22%87%9f%be%79%6d%c4%61%a4%08%57%02%82%2a%ef%36%95%da%ee%13%bc%fb%7e%a3%59%45%ef%25%67%3c%e0%27%69%2b%95%77%b8%cd%dc%4f%de%73%24%e8%ab%66%74%d2%8c%68%06%80%0c%dd%74%ae%31%05%d1%15%7d%c4%5e%bc%0b%0f%21%23%a4%96%7c%17%12%d1%2b%b3%10%b7%37%60%68%d7%cb%35%5a%54%97%08%0d%54%78%49%d0%93%c3%b3%fd%1f%0b%35%11%9d%96%1d%ba%64%e0%86%ad%ef%52%98%2d%84%12%77%bb%ab%e8%64%da%a3%65%55%5d%d5%76%55%57%46%6c%89%c9%5f%b2%3c%85%97%1e%f6%38%66%c9%17%22%e7%ea%c9%f5%d2%e0%14%d8%35%4f%0a%5c%34%d3%f3%a5%98%f7%66%72%aa%43%e3%bd%a2%cd%62%fd%e9%1d%34%30%57%52%ab%41%b1%91%65%f2%30%7f%cf%c6%a1%8c%fb%dc%c4%8f%61%a5%13%40%1a%13%d1%09%c5%e0%f7%87%5f%48%e7%d7%b3%62%04%a7%c4%cb%fd%f4%ff%cf%3b%74%a8%1b%96%8e%09%73%3a%9b%a6%2f%ed%b7%99%d5%39%05%39%95%ab";
$s3 = "%af%13%76%70%82%a0%a6%58%cb%3e%23%38%c4%c6%db%8b%60%2c%bb%90%68%a0%2d%e9%47%aa%78%49%6e%0a%c0%c0%31%d3%fb%cb%82%25%92%0d%cf%61%67%64%e8%cd%7d%47%ba%0e%5d%1b%9c%1c%5c%cd%07%2d%f7%a8%2d%1d%bc%5e%2c%06%46%3a%0f%2d%4b%e9%20%1d%29%66%a4%e1%8b%7d%0c%f5%ef%97%b6%ee%48%dd%0e%09%aa%e5%4d%6a%5d%6d%75%77%72%cf%47%16%a2%06%72%71%c9%a1%8f%00%f6%9d%ee%54%27%71%be%c8%c3%8f%93%e3%52%73%73%53%a0%5f%69%ef%c3%3b%ea%ee%70%71%ae%2a%21%c8%44%d7%22%87%9f%be%79%ed%c4%61%a4%08%57%02%82%2a%ef%36%95%da%ee%13%bc%fb%7e%a3%59%45%ef%25%67%3c%e0%a7%69%2b%95%77%b8%cd%dc%4f%de%73%24%e8%ab%e6%74%d2%8c%68%06%80%0c%dd%74%ae%31%05%d1%15%7d%c4%5e%bc%0b%0f%21%23%a4%16%7c%17%12%d1%2b%b3%10%b7%37%60%68%d7%cb%35%5a%54%97%08%0d%54%78%49%d0%93%c3%33%fd%1f%0b%35%11%9d%96%1d%ba%64%e0%86%ad%6f%52%98%2d%84%12%77%bb%ab%e8%64%da%a3%65%55%5d%d5%76%55%57%46%6c%89%c9%df%b2%3c%85%97%1e%f6%38%66%c9%17%22%e7%ea%c9%f5%d2%e0%14%d8%35%4f%0a%5c%34%d3%73%a5%98%f7%66%72%aa%43%e3%bd%a2%cd%62%fd%69%1d%34%30%57%52%ab%41%b1%91%65%f2%30%7f%cf%c6%a1%8c%fb%dc%c4%8f%61%a5%93%40%1a%13%d1%09%c5%e0%f7%87%5f%48%e7%d7%b3%62%04%a7%c4%cb%fd%f4%ff%cf%3b%74%28%1c%96%8e%09%73%3a%9b%a6%2f%ed%b7%99%d5%b9%05%39%95%ab"; 

echo $s1 != $s2 && $s1 != $s3 && $s2 != $s3 ;       //返回False
echo md5(urldecode($s1)) === md5(urldecode($s2)) && md5(urldecode($s3)) === md5(urldecode($s1)) && md5(urldecode($s2)) === md5(urldecode($s3)) ;  //返回True

可以用软件碰撞生成指定前缀相同md5的字符串

 

3.利用数组的md5均为null来绕过

实例:http://127.0.0.1/?key1[]=2134&key2[]=21

php的md5()函数无法处理数组对象,遇到数组md5()全部返回NULL,即相等成功绕过

 

4.当允许传入非数组或字符串时,比如可以传入序列化对象时

实例:

<?php

class trick{

   public $trick1;

   public $trick2;

   public function __destruct(){

       $this->trick1 = (string)$this->trick1;

       if(strlen($this->trick1) > 5 || strlen($this->trick2) > 5){

           die("你太长了");

       }

       if($this->trick1 !== $this->trick2 && md5($this->trick1) === md5($this->trick2) && $this->trick1 != $this->trick2){

           echo file_get_contents("/flag");

       }

   }

}

highlight_file(__FILE__);

unserialize($_GET['trick']);

 

(1)利用浮点数精度问题绕过

0.1 + 0.2 为啥不等于 0.3 ? (正确结果:0.30000000000000004)

0.8 * 7 为啥不等于 5.6 ? (正确结果:5.6000000000000005)

由于浮点数底层是二进制的浮点表示法,一些在十进制下有穷的数字,在二进制下是无穷的,无限数运算自然会有微小差错,而且任然为无限循环数

这种无限循环数在被转化为字符串后就四舍五入了

$x->trick1 = 0.01;

$x->trick2 = 0.01000000000000001;    //以下payload的trick1为正常数,trick2是个无限循环数

$x->trick1 = 0.3;

$x->trick2 = 0.1+0.2;     

$x->trick1 = 5.6;

$x->trick2 = 0.8*7;

$x->trick1 = 5.6;

$x->trick2 = 5.6000000000000005;

由于在进行数值比较时,!=会优先把字符串转化为浮点数进行比较,所以显然不同,而md5函数,是将其转化为字符串再进行md5运算,结果相同

 

(2)通过NAN、INF特殊常量绕过

某些数学运算会产生一个由常量 NAN 所代表的结果。此结果代表着一个在浮点数运算中未定义或不可表述的值。任何拿此值与其它任何值(除了 TRUE)进行的松散或严格比较的结果都是 FALSE。由于 NAN 代表着任何不同值,不应拿 NAN 去和其它值进行比较,包括其自身”。这里的说明就很清楚了,NAN代表着任何不同值,也就是说便面看上去(NAN == NAN)是判断自身是否等于自身,实际上等号前NAN和等号后的NAN代表着不同的值。

INF,这个值在PHP中代表的是无穷大的意思,计算不当,或者计算值超过服务器的上限是也会显示这个,例如下面这个公式

pow(9999,pow(99999,pow(99999,9999)))

由于NAN和INF在php中都是不确定的值,所以他们在与自身做==比较时,都返回false,利用此即可绕过

b1ackc4t
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
MD5绕过(强弱类型比较
weixin_43332695的博客
08-03 7445
文章目录前言一、强类型比较(===)和弱类型(==)比较区别二、MD5弱类型绕过1.0e绕过2.数组绕过三、MD5强类型绕过1、2、数组绕过四、特定条件下的MD验证绕过:ffifdyop总结 前言 在刷题的时候遇到,强弱类型比较MD5的验证,就简单的总结记录一下 一、强类型比较(=)和弱类型()比较区别 首先,我们来看一下php对类型比较的解释 松散比较也就是弱类型比较,严格比较就是强类型比较 a==b:弱类型比较会将a和b转成统一数据类型在进行比较,而强类型比较会先判断a和b是不是相同类型,不是
PHP黑魔法之md5绕过
Thewei666的博客
05-14 576
示例:240610708和ONKCDZ0的md5值相似,但并不相同,在"=="相等操作符的运算下,结果会返回true(sha1和Md5一样)在两种情况下,会导致变量原值不同但 md5 或 sha1 相同。
PHPMD5常见绕过
iczfy585的博客
05-12 1万+
PHPmd5绕过md5($password,true)的SQL注入问题两变量值不相等,md5计算散列值后相等的绕过MD5碰撞 函数: md5($string,bool): 得到一个字符串散列值。 其中第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。 若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 md5($password,true)的SQL注入问题 这里需要注意一下MYSQL中的一些数值比较的特征。 1.当数字和字符串比较时,若字符
PHP 绕过md5()函数比较
情感博主V
10-31 857
存在如下方法: 1、PHP在处理哈希字符串,存在一个缺陷, 它会把以“0e”开头的哈希值解释为“0”,因此,若存在两个数经过哈希后均以“0e”开头,则PHP会判断比较结果为True; 下面给出经过md5()函数哈希后以“0e”开头的字符串: String md5 s1885207154a 0e509367213418206700842008763514 s1836677006a...
Web 攻防:PHP特性漏洞 - MD5比较绕过
最新发布
weixin_43320796的博客
06-02 789
md5() 函数计算字符串的 MD5 散列。MD5() 遇到公式,会运算公式,在对公式的值计算 md5 的值。由于 0 和任何数相乘都等于0,所以 0e 开头的任何数MD5都是相同的。科学计数法,大小等价,0e 和 0E 结果相同。格式为:aEb = a × 10^b,即 a 乘以 10 的 b 次幂。
PHP md5()函数详解,PHP计算MD5md5()绕过md5()漏洞原理剖析
wangyuxiang946的博客
07-31 1万+
md5() 可以计算字符串的「MD5散列值」。计算成功,就返回MD5值;计算失败,就返回false。
PHP弱类型及一些绕过姿势
Lemon's blog
04-30 5610
前言: 做web题时经常会遇到各种php弱类型或者是php的一些漏洞函数,由于知识比较零碎,就总结一下我所遇到的,也方便自己以后观看。 0x01:Hash比较缺陷 产生原因: PHP在处理哈希字符串时,通过!=或==来对哈希值进行比较,它把每一个以0e开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以0e开头的,那么PHP将会认为他们相同,都是0 具体实例: 审计代码,我...
渗透测试-PHP反序列化及绕过
cdyunaq的博客
04-26 4485
最简单的反序列化 require_once('flag.php'); highlight_file(__FILE__); classA{ private$user='test'; function__destruct(){ ...
html5判断用输入密码,CTF中Web密码绕过(特殊的万能密码绕过)详解
weixin_29144347的博客
06-05 2779
可能做过CTF题的朋友们,都有一定的了解过Web登陆密码绕过这种类型的题目,绕过的方法也有很多,层次不穷,今天帮朋友的时候也遇到了这类型的题目,但是又非常的特别,网络上也是很少见的,特意分享出来一下。题目:admin的密码非常长,但是有最短的方式绕过。前台代码:admin的密码非常长,但是有最短的方式绕过绕过方法:这里用到的是SQL注入万能密码绕过:用户名为:admin,密码为:'='。原理:原理...
SQL注入&WAF绕过姿势
热门推荐
4ct10n
03-02 2万+
# 1.WAF过滤机制: 1.异常检测协议–拒绝不符合HTTP标准的请求; 2.增强的输入验证–代理和服务端的验证而不只是限于客户端验证; 3.白名单&黑名单机制–白名单适用于稳定的Web应用,黑名单适合处理已知问题; 4.基于规则和基于异常的保护–基于规则更多的依赖黑名单机制基于,基于异常根据系统异常更为灵活; 5.另外还有会话保护、Cookies保护、抗入侵规避技术、响应监视和信息泄
CTF学习笔记——[BJDCTF2020]Easy MD5
Obs_cure的博客
08-18 702
一、[BJDCTF2020]Easy MD5 1.题目 2.解题步骤 题目是一个简简单单查询框。因为太忙好久没做题,之前某次试水看了一次WP,记得是在响应头有信息,摸过来看一下 这里一句SQL提示了注入的信息,首先是进行了MD5的运算 他会将输入的字符串进行原始的16字符二进制格式加密,然后返回结果,之后再向前看,与admin进行比对。 3.总结 4.参考资料 ...
php MD5比较绕过
海纳百川
05-31 5762
php MD5比较绕过 关于 md5() 函数 在 php 程序中,md5($string,bool): 得到一个字符串散列值。其中第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 == 绕过 示例: if($_POST['a'] != $_POST['b']&& md5($_POST['a']) == md5($_POST['b'])) { echo $flag; }
php涉及md5的字符串比对
kukicha的博客
06-25 2161
md5('240610708') 的结果是:0e462097431906509019562988736854 md5('QNKCDZO') 的结果是:0e830400451993494058024219903391 PHP 是弱类型语言,在使用 == 号时,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行。此规则也适用于 switch 语句。...
MD5绕过
m0_64236521的博客
02-03 773
md5绕过
php mysql 绕过_PHPmd5绕过
weixin_31221157的博客
02-28 314
一、md5($password,true)的SQL注入问题这里要提到一下MySQL中的数值比较问题。1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。select if(1="1abcd","等于","不等于") as test;if(exp1,stat1,stat2)类似于高级语言中三元运算符。当exp1为true的是否返回stat1,为fals...
php md5比较绕过
qq_53086690的博客
06-16 444
md5($password,true)绕过 可以进行输入ffifdyop进行绕过 ffifdyop进行md5然后再转16进制就会变成’or 6xxxx就会变成永真式。 php中对md5进行==比较可以进行绕过 # ==绕过 1.可以进行数组绕过例如 md5($a) == md5($b) # a[]=1&b[]=2 2.可以进行科学计数法进行绕过 # ===绕过 1.只能是数组绕过 ...
PHPMD5加密的简单绕过及基于MD5加密的SQL注入
Landasika的博客
12-10 5372
部分内容参考于: sql注入:md5($password,true)_March97的博客-CSDN博客_md5($pass,true) 目录 一、简介 二、基于PHP漏洞的绕过 1、MD5比较“==”绕过 2、MD5比较“===”绕过 三、有关SQL注入的MD5绕过 1、起因 2、注入原理 一、简介 md5() 函数计算字符串的 MD5 散列。 MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来..
MD5 绕过第一式:弱比较绕过
两个月亮
09-27 1117
PHP 中,隐式类型转换(Implicit Type Conversion)是指在某些操作中,PHP 会自动 将数据由一种数据类型转换为另一个数据类型,而无需显式地编写 类型转换 代码。在 PHP 中,若弱比较运算符的两个操作数 均为字符串。PHP 将 依据不同 PHP 版本下字符串转化为数值的规则 将两个操作数转化为数值。在 PHP 中,若弱比较运算符的两个操作数分别为 数值 与 字符串。PHP 将 依据不同 PHP 版本的转化规则 将两个操作数中的一个转化为另一种数据类型。
MD5比较&0e绕过
VZS_0的博客
12-15 331
题目来源于[SWPUCTF 2021 新生赛]easy_md5比较:使用三个 ''==='' 比较比较值,也比较类型弱比较:使用两个 ''=='' 比较,只比较值,不比较类型转换规则:1.字符型和字符型比较,为同类型,比较其内容 2.数字型和数字型比较,同上 3.字符型和数字型比较,若字符型值开头为数字,转为数字; 若开头不为数字,为 null (弱比较)与 0 相等。[1]字符型和数值型的弱比较 先看字符串开
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1ackc4t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值