[BJDCTF 2020]easy_md5

妙尽璇机

于 2023-12-25 14:29:41 发布

阅读量1.2k

点赞数 22

分类专栏： ctf 文章标签： web安全 php 网络安全

本文链接：https://blog.csdn.net/m0_73612768/article/details/135198838

版权

ctf 专栏收录该内容

71 篇文章 0 订阅

订阅专栏

[BJDCTF 2020]easy_md5 wp

信息搜集

进入题目，页面内容如下：

在这里插入图片描述

查看源代码，没有发现什么有价值的信息。

提交查询时抓包，发包后出现提示：

在这里插入图片描述

给了一句 SQL 代码的提示。

经过 md5 加密变成万能密码

参考博客：https://www.cnblogs.com/tqing/p/11852990.html

select * from 'admin' where password=md5($pass,true)

一些字符串经过 MD5 加密后会变成万能密码的形式：

ffifdyop ：

在这里插入图片描述

129581926211651571912466741651878684928 ：

在这里插入图片描述

所以这里理论上直接传入参数 password=ffifdyop 或者 password=129581926211651571912466741651878684928 就行，这里不知道为什么，burp 发包得到的返回结果始终是 200 OK ，只有去 web 页面测试才会跳转到 levels91.php 页面，而且只有 ffifdyop 这个 payload 测成功了，不知道是不是长度限制的问题。

MD5 加密弱比较和强比较的绕过

levels91.php 页面：

在这里插入图片描述

查看源代码，源代码中给出了这样一段注释信息：

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    header('Location: levell14.php');
-->

弱比较的绕过

科学记数法绕过

如果两个字符经 MD5 加密后的值为 0exxxxx 形式，就会被认为是科学计数法，且表示的是 0*10 的 xxxx 次方，还是零，都是相等的。
下列的字符串的 MD5 值都是 0e 开头的：

QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a

get 传参 ?a=QNKCDZO&b=240610708

数组绕过

get 传参 ?a[]=1&b[]=2

关于数组绕过的原理，我会详细解释一下，首先需要重新理解一下 URL 传参。

URL 传参

URL 传参的时候，可以直接传入参数：para=123

也可以用数组形式分段传入：para[]=1&para[]=2&para[]=3 分段传入的数据在服务器会被拼接成一个整体，即 123 ，这种传参方式与第一种没有区别。

还可以同一参数名多次传参：para=1&para=2&para=3 ，与前两种没有区别。

这就是为什么 URL 中可以用数组传参。

绕过原理

PHP 的 MD5 函数是无法处理数组的，在处理数组时会返回 NULL ，两边都返回 NULL ，那么就相等了。

条件

数组绕过是有条件的，PHP 8 是无法使用数组绕过的。

MD5 碰撞

直接找两个本身不一样但是 MD5 加密后一样的字符串。这个过程称为 MD5 碰撞。

payload

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

payload 来源

版权声明：本文为CSDN博主「小白萝卜」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/EC_Carrot/article/details/109525162

绕过后跳转到 levell14.php 页面，其内容为：

<?php
    error_reporting(0);
    include"flag.php";
    highlight_file(__FILE__);
    if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    	echo $flag;
    }

强比较的绕过

在弱比较的绕过中，后两种都是可以的。

数组绕过

原理在弱比较的绕过中已经讲了，这里直接上 payload :

POST 传参：param1[]=1&param2[]=2

拿到 flag ：

在这里插入图片描述

MD5 碰撞

POST 传参：

param1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&param2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

拿到 flag ：
在这里插入图片描述