看了源代码没有可用信息,抓一下包
在响应包里看到一个提示:Hint: select * from 'admin' where password=md5($pass,true)
这里true规定输出格式为16进制,有一个md5的漏洞是
ffifdyop,这个点的原理是 ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是 ‘ or ‘6,
而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是select * from ‘admin’ where password=’’ or ‘6xxxxx’
————————————————
版权声明:本文为CSDN博主「每天都要努力哇」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/wo41ge/article/details/109690871
select * from ‘admin’ where password=’’ or ‘6xxxxx’相当于select * from ‘admin’ where password=’’ or ‘1
输入ffifdyop
查看源码
这是一个弱比较,a和b不相同的情况下满足a和b分别进行md5解析后的结果相同,md5弱比较有一个绕过方式是当以xe(x为数字)开头且后面的字符串全部为数字时,会被看成科学计数法,x为0时0exxxxxx==0exxxxx(x为数字),因此我们只需找到经过md5解析后是0e开头且后面字符串全部为数字的字符串,这样的字符串有很多
byGcY
0e591948146966052067035298880982
QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
任选其中两个
构造payload
?a=byGcY&b=QNKCDZO
这是一个强比较
Md5(array())返回null ,传入数组绕过,a[]=a1&a[]=a2&a[]=a3
flag{895217ed-91f4-42d5-89e9-3384bb0d9048}