ctf 绕过php,第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过

最新推荐文章于 2024-08-10 10:43:13 发布
最新推荐文章于 2024-08-10 10:43:13 发布
阅读量350 收藏
点赞数
文章标签: ctf 绕过php
本文详细介绍了在第三届NSCTF中遇到的一道关于PHP MD5碰撞和strcmp函数绕过的题目。通过使用fastcoll工具生成MD5碰撞的文件,并利用PHP的特殊处理方式绕过strcmp函数的比较,最终成功获取flag。文中还提到了其他可能的绕过思路,包括0e开头MD5哈希字符串的处理缺陷和使用数组参数的方法。
摘要由CSDN通过智能技术生成

第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过

20200704021608-5effe6685fc75.png

1、打开网页如图,F12发现code.txt:

20200704021609-5effe66905b0d.png

2、需要php代码审计,提示需要get方式提交3个参数(v1、v2、v3)且v1和v2的值不同,但md5后的值相同(中间是&&与符号),为真时再利用strcmp函数判断v3和$flag是否相同,为真输出flag;

20200704021611-5effe66bca695.png

3、在问了几个朋友后,得到一些提示,首先MD5碰撞有工具,可以生成,另外strcmp函数有绕过漏洞,这就简单了

4、下载fastcoll工具创建一个文本文件init.txt,随便写入1,使用命令fastcoll -p init.txt -o 1.txt 2.txt就可以在当前目录生成不同内容但MD5相同的文件:

20200704021612-5effe66cdadfe.png

5、用下面代码计算MD5并URLENCODE,这里就是v1和v2参数用的;

}echo 'MD5:'. md5( (readmyfile("1.txt")));echo "
";echo 'URLENCODE '. urlencode(readmyfile("1.txt"));echo "
";echo 'URLENCODE hash '.md5(urlencode (readmyfile("1.txt")));echo "
";echo 'MD5::'.md5( (readmyfile("2.txt")));echo "
";echo 'URLENCODE '. urlencode(readmyfile("2.txt"));echo "
";echo 'URLENCODE hash '.md5( urlencode(readmyfile("2.txt")));echo "
";?>

20200704021615-5effe66f76782.png

6、strcmp函数的绕过是这样的(参考:https://blog.csdn.net/dyw_666666/article/details/82349432),重点截图如下:

20200704021617-5effe6719b4be.png

7、开始burp的操作,参数值不要用双引号,连接多个参数用&,拿到flag:

20200704021618-5effe6725cd2e.png

PS1:后来还找到MD5碰撞绕过的其他思路,利用PHP处理0e开头md5哈希字符串的缺陷,有空可以试下:

20200704021621-5effe6752f9cd.png

PS2:最后又发现一个帖子写到居然全部用数组参数绕过,也就是strcmp函数和MD5碰撞都可以用数组绕过。。。真是惊喜一波接着一波呀。。。

20200704021622-5effe676c073d.png

20200704021623-5effe677767ae.png

参考:

如何用不同的数值构建一样的MD5 – 第二届强网杯 MD5碰撞 writeup – 先知社区

MD5碰撞和MD5值(哈希值)相等_Sea_Sand息禅-CSDN博客_md5后的值相同

PHP处理0e开头md5哈希字符串缺陷/bug & PHP expresses two different strings to be the same [duplicate]_ncafei的博客-CSDN博客_0e830400451993494058024219903391

王知遇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP登录strcmp函数绕过
墨痕诉清风的博客
08-14 744
从这里开始,我实际上花了很长时间尝试在我的 get 请求中传递对 $FLAGWEB6 的引用,因为这两个变量是相同的。不幸的是,我永远无法让它工作(如果我在这里错过了一些愚蠢的事情,请联系我!source.txt 文件很简单,在我们的 GET 请求和 $PASSWORD 变量之间执行了一个简单的 strcmp。在页面的源代码中并没有那么隐藏是我可以找到表单源的地方。无法在这方面取得任何进展,然后我回顾了挑战提供的提示。发送请求后,我收到了标志和随后的 70 分。考虑到这一点,我向登录页面发送了以下请求。..
宁波市第三届网络安全大赛(NSCTF)WP
zhwho的博客
07-12 2457
** 写在开头 从简书回来了,入坑简书半年,由于个人原因,简书账号注销了,以后就在CSDN上写啦 hhhh ** 前段时间和室友一起参加了这次NSCTF,做的题比较杂,WEB、MISC、密码,想着这几天会开环境给复现,现在看好像不给开环境,有的题保存下来了,这里先写写思路,有些截图没保存,以后有机会一定补上。 WEB 签到——本地访问 打开环境,印象里是有一句话: 只有本地管理员才能访问,你想越权访问吗? 这就很明显了,当然想越权访问,不然怎么拿flag?而拿flag的条件很明显有两个——1.本地 2.管理
PHPstrcmp函数引发的安全问题
02-28 7090
在官方的文档有这么一端说明: Note a difference between 5.2 and 5.3 versions echo (int)strcmp('pending',array()); will output -1 in PHP 5.2.16 (probably in all versions prior 5.3) but will output 0 in PHP 5.3.3 O
PHP一些函数绕过总结
最新发布
weixin_52230368的博客
08-10 970
可以引入\f(也就是%0c)在数字前面,来绕过最后那个is_palindrome_number函数,而对于前面的数字判断,因为intval和is_numeric都会忽略这个字符,所以不会影响。同理,intval(” \r\n \t 12″),也会正常返回12。的文字这样输出会出现乱码情况第一个参数是你文本的编码第二个参数是你要转换的文本格式第三个是你要转换的文本使用之后把返回结果赋值给。这里用的是strcmp()函数,这个函数是用于比较字符串的函数,但是倘若他收到一个数组形式的数据时,这个函数将发生错误。
ctf php侧漏,ctf中常见的PHP漏洞小结
weixin_39588252的博客
04-01 1447
ctf中常见的PHP漏洞小结在做ctf题的时候经常会遇到一些PHP代码审计的题目,这里将我遇到过的常见漏洞做一个小结。md5()漏洞PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。常见的payload有QNKCDZO24061070...
备战CTF做题题解
weixin_40707492的博客
07-21 6517
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
南邮CTF练习题——web题
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
bugkuctf web基础部分 writeup
river
03-20 2879
Bugku-ctf-web 管理员系统 随便输入用户名和密码提示 窗体顶端 窗体底端 IP禁止访问,请联系本地管理员登陆,IP已被记录. 明显需要伪造允许登录的IP 知识点: XFF头(X-Forwarded-For),代表客户端,也就是HTTP的请求端真实的IP。有两种方式可以从HTTP请求中获得请求者的IP地址。一个是从Remote Address中获得,另一个是从X-Forward-For中...
ctf竞赛ctf
08-07
ctf 实验步骤 
CTF相关命令使用
01-21
了解CTF见到的非常不错的素材资源,这个是关于网络设置较多的文档
md5 php 绕过,ctfMD5 绕过的一些思路
weixin_34081553的博客
03-20 973
1. 常规的0e绕过QNKCDZO240610708s878926199as155964671as214587387as214587387a这些字符串的md5值都是0e开头,在php弱类型比较中判断为相等12. 数组绕过如下代码var_dump(md5($_GET['a'])==md5($_GET['b']))1传入a[]=a&b[]=b1虽然会报错,但是判断为真可以看到,...
NSCTF web200——实验吧
weixin_33749131的博客
06-08 317
今天有点时间就多写几篇解题思路吧, 希望能够帮助到那些需要帮助的人, 所有的wp都是以一题一篇的形式写出 主要是为了能够让读者更好的阅读以及查找, 希望你们不要责怪!!共勉!!! 这一题我是使用两种方法写出来的,希望能够帮助到你们!!!! 永远爱你们的————新宝宝 NSCTF web200分值:20 来源:2015NSCTF真题 难度:中 参...
“百度杯”CTF比赛 九月场——Code
Ifish的博客
08-07 2653
题目描述 解题思路 1、打开题目链接,看到url,感觉应该是文件包含 查看源码,看到了图片的base64编码 2、感觉思路比较清晰,构造 index.php?jpg=index.php,查看源码,得到base64编码,解码,得到index.php的源码 &amp;lt;?php /** * Created by PhpStorm. * Date: 2015/11/16...
PHP特性之CTF中常见的PHP绕过
Welcome To Myon'Blog !
07-18 6286
一、关于md5()和sha1()的常见绕过 1、使用数组绕过 2、 使用特殊字符串绕过 二、strcmp绕过 三、switch绕过 四、intval绕过
CTFPHP MD5函数0E绕过漏洞
06-01 1万+
CTFPHP MD5函数0E绕过漏洞 作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.1 8:43 背景 昨天参加了一场CTF线上赛,面对行业内的安全强队,比赛成绩相差巨大。通过这次比赛,找到了差距,找到了不足,更增长了知识。子曰:“学而不思则罔,思而不学则殆。”计划将经后每次比赛,解题过程中的困惑、思路、整理后分享出来,以达起到巩固知识,也便于帮助有需要的人。因个人能力所限,文中难免会有错误,不妥之处还请批评指正。 赛题源码 ...
CTF-Crypto实战-2023红队】从乱码.txt文件获取flag
Cra_Thursday9527的博客
07-27 2574
复制该文本,用瑞士军刀打开,Output右边出现一个魔术棒,说明自动识别出了加密方式与编码字符集,点击魔术棒,得到flag。这次拿到的题目中只有一个.txt文件,直接双击打开文本后发现一堆啥也不是的东西。尝试各种直接解码无果后,用winhex查看二进制,发现其中几乎全是字母。推测该.txt文件存在编码问题,于是尝试用sublime打开。去掉所有回车(word也行)
CTF中Web题目的各种基础的思路-----入门篇十分的详细
m0_64815693的博客
09-13 2万+
想学习CTF-web这里给你一个思路,给你一个方向
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过绕过筛选器,构造如下 URL: ``` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值