[MRCTF2020]Ez_bypass

MD5强碰撞，PHP弱类型

右击查看源码

include 'flag.php';
$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';
if(isset($_GET['gg'])&&isset($_GET['id'])) {
    $id=$_GET['id'];
    $gg=$_GET['gg'];
    if (md5($id) === md5($gg) && $id !== $gg) {
        echo 'You got the first step';
        if(isset($_POST['passwd'])) {
            $passwd=$_POST['passwd'];
            if (!is_numeric($passwd))
            {
                 if($passwd==1234567)
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');
                 }
                 else
                 {
                     echo "can you think twice??";
                 }
            }
            else{
                echo 'You can not get it !';
            }

        }
        else{
            die('only one way to get the flag');
        }
}
    else {
        echo "You are not a real hacker!";
    }
}
else{
    die('Please input first');
}
}Please input first

第一个规则：MD5强碰撞

<?php
include 'flag.php';//包含并执行flag.php
$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';
if(isset($_GET['gg'])&&isset($_GET['id'])) {//以get方式非空且为字符串提交gg和id
    $id=$_GET['id'];
    $gg=$_GET['gg'];
    if (md5($id) === md5($gg) && $id !== $gg) {//MD5加密后的id需要等于MD5加密后的gg，同时id等于gg
        echo 'You got the first step';//成功绕过第一个判断
?>

MD5强碰撞，如果传入的两个参数不是字符串，而是数组，md5()函数无法解出数值，就会得到===强比较的值相等

构造payload

第二个规则：PHP弱类型

<?php
        if(isset($_POST['passwd'])) {//使用post方式提交一个passwd
            $passwd=$_POST['passwd'];
            if (!is_numeric($passwd))//is_numeric检测变量是否为数字或数字字符串，这里需要使passwd不等于数字
            {
                 if($passwd==1234567)//如果passwd等于1234567跳出flag.php
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');
?>

PHP是一种弱类型的语言，对于数字0和空字符串在进行布尔运算的时候都会转换为 false ；== 会自动转换类型然后进行比较，比如字符串 '0' 和数字 0 比较的时候会返回true。

可以构造为1234567s，类型转换后为1234567，从而绕过!is_numeric

构造payload：passwd=1234567a