2017-赛客夏令营-Web-weakphp-git泄露&phpHash泄露

最新推荐文章于 2022-05-21 13:22:23 发布
最新推荐文章于 2022-05-21 13:22:23 发布
阅读量3.4k 收藏 1
点赞数 1
分类专栏: CTFHUB 文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40872714/article/details/124032778
版权
这篇博客介绍了PHP中一个关于哈希对比的隐式转换漏洞,当以0e开头的MD5哈希值被比较时,会被误判为0。通过这个漏洞,可以找到特定的字符串输入,使得即使不同密码的MD5哈希也能通过等价比较。文章提供了一些0e开头的MD5例子,并提到了利用这个知识点解决Web安全挑战的方法。
摘要由CSDN通过智能技术生成

2017-赛客夏令营-Web-weakphp-git泄露

题目没有给什么有用的信息,尝试扫一扫目录,发现是有.git
在这里插入图片描述
使用GitHacker 将.git克隆到本地
在这里插入图片描述
在git目录下打开git shell 查看git历史发现一个init版本,回退到此版本
在这里插入图片描述
得到index.php
在这里插入图片描述

<?php
require_once "flag.php";
if (!isset($_GET['user']) && !isset($_GET['pass'])) {
    header("Location: index.php?user=1&pass=2");
}

$user = $_GET['user'];
$pass = $_GET['pass'];
if ((md5($user) == md5($pass)) and ($user != $pass)){
    echo $flag;
} else {
    echo "nonono!";
}
?>

看起来是要找到md5的碰撞字符串,如果学过md5的话,就应该知道穷举的复杂度是非常高的,不是几分钟能搞定的(有兴趣可以去看一下md5,原理还是比较简单),所以这儿必不可能是想让你找到两个碰撞的例子。解决这道题涉及到下面的这个php的知识点。
PHP有个隐式转换的缺陷,PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0

详细解释:
php关于==号是这样处理的,如果一边是整型,另一边也需要是整型。

0e545993274517709034328855841020
这是一个整数,在php里是理解为0*10^4549…20的意思,那么其值是0

同样

0e342768416822451524974117254469
这是一个整数,在php里是理解为0*10^34…69的意思,那么其值是0

0e开头的md5和原值:

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020

在这里插入图片描述

参考链接:
https://blog.csdn.net/anzhuangguai/article/details/70049960
https://blog.csdn.net/u014549283/article/details/81288443

swpu_jx_1998
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2017-赛客夏令营-Web-Injection V2.0
Mr_Shiyang的博客
08-13 726
两种业务查询方式: 一种是直接对用户输入的账号名和密码进行查询 另一种是针对用户输入的账号名进行查询对应的密码,再和用户输入的密码做比较 payload: user=aadmin’//union//select//1//or/**/‘1’='1&pass=1 ...
CTFHUB 2017-赛客夏令营-Web-Injection V2.0
mutou990的博客
08-13 739
参考:https://blog.csdn.net/Mr_Shiyang/article/details/107974827 登陆页面如图所示 用户登陆两种业务查询方式: 一种是直接对用户输入的账号名和密码进行查询 另一种是针对用户输入的账号名进行查询对应的密码,再和用户输入的密码做比较 step1: 开始输入username=1,admin=1,提示用户名不存在,第二次输入admin:1 提示密码错误,那么我们可以确定应该是第二种业务查询模式,否则应当响应用户名或密码输入错误 第一想法尝试爆破数据库,找
2017-赛客夏令营-Web-weakphp
Y4tacker的博客
07-26 8579
我擦???居然是git泄露 通过利用工具得到目录 得到index.php 求是user和pass不相同而MD5却相等,验证了php弱类型的想法 ????: PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以“0E”开头的,那么PHP将会认为他们相同,都是0。 以下值在md5加密后以0E开头: QNKCDZO 240610708 s878926199a s155964671a s214587387a s214587387a GE
2017-赛客夏令营-weakphp
qq_53460654的博客
05-22 429
打开环境 查看源码并没有什么发现 怀疑存在源码泄露 进行扫描 发现确实存在git泄露 进行回滚得到一个index.php <?php require_once "flag.php"; if (!isset($_GET['user']) && !isset($_GET['pass'])) { header("Location: index.php?user=1&pass=2"); } $user = $_GET['user']; $pass = $_GET['pas
第 三 周 write up (TokyoWesterns-Web-shrine 2017-赛客夏令营-Web-random 2017-赛客夏令营-Web-weakphp
tothemoon的博客
10-07 465
工作室“改革” 为了加强我们这一届的知识技能 每周3个ctfhub 的 write up。 都到周三了,一道题没做,不是这有事,就是那忙,我是菜鸡,今天晚上赶紧肝一道出来。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PzXEcxj1-1602076468780)(https://gitee.com/tothemoon_2020/picgo/raw/master/8~ZOXMAJTRB{2E6LX{RMN%9.jpg)] 2018-TokyoWesterns-Web-shr
php弱引用是什么意思,PHP WeakReference类
weixin_35732273的博客
04-04 179
介绍使用弱引用,可以保留对对象的引用,这不会阻止对象被破坏。可以通过弱引用来实现类似缓存的结构。弱引用类似于普通引用,不同之处在于它不会阻止垃圾收集器收集对象。如果找不到对该对象的强引用,则它将立即从内存中删除。这样,可以实现高速缓存的大多数优点,而不会出现内存问题。PHP 7.4中引入了WeakReference类。在此版本之前,弱引用扩展曾获得相同的效果。WeakReference类具有以下结...
赛客乐U无线路由器-SR1B编程器固件备份、UBOOT、N14U、rippleos.zip
08-01
有编程器很好刷,亲测可用。 1、用编程器刷入UBOOT 2、按住菊花插电源,所有绿灯连闪三次后松开。 3、在浏览器中输入192.168.1.1选择想刷的固件。 所有固件都测试过可以刷入并启动正常进入界面,其它的自行研究了!
Git-02-分支使用
码赛客1024的博客
05-21 397
常用工具-GIT分支的基础
employee-crud
08-01
Web开发领域,"CRUD"(Create,Read,Update,Delete)是数据库操作的四大基本功能,用于创建、读取、更新和删除数据。本项目"employee-crud"提供了一套完整的基于Java Servlet、JSP和JDBC技术实现的员工信息管理...
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
2017-赛客夏令营-Web全家桶
会下雪的晴天
09-07 431
题目来自CTFHub,感谢平台的复现环境 2017-赛客夏令营weakphprandominjection weakphp 知识点:git源码泄露php弱类型;md5碰撞 源码没看到什么东西,抓包看看,没发现啥,扫描器启动233 很明显了,git泄露,用GitHack恢复一下 进入dist目录,查看恢复源码 主要绕过(md5($user) == md5($pass)) and ($user != $pass),要求user与pass不同,但其md5加密后却相同,典型的md5碰撞。 .
2017-赛客夏令营】-Web-Uploadddd
weixin_45844670的博客
09-01 431
打开链接是一个上传文件的界面 先上传试试看看有没有限制 发现php文件可以正常上传 这时候就要找文件上传到了哪个漏洞 使用dirmap工具 python dirmap.py -i 你的网址 -lcf 扫描得到了/.index.php.swp 使用vim工具打开 vim -r index.php.swp 可以看到 <?php if (isset($_POST['submit'])){ $file_path = "uploads/"; $file_name = date("YmdHis
CTFHub Web真题(3星-6星)
qq_43936524的博客
05-20 1851
三星难度Web题 afr-2 afr-1 提示文件包含 输入hello 回显hello world! 输入flag 回显no no no 又试了几个输入无回显 可以猜测输入的内容添加了后缀后显示出了文件内容 采用 php://filter/read=convert.base64-encode/resource=flag 成功读取flag.php内容 解码后得到flag n1book{afr_1_solved} checkin 扫目录只扫出了index.php一个页面,抓取响应包发现有flag字段
CTFHUB历年真题练习
qq_51558360的博客
10-11 1399
WebsiteManger 考点 布尔盲注、SSRF 尝试了一般登录方法没有反应。查看源码发现sql注入的利用点在图片上 盲注脚本 import string from requests import * allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~' myurl = 'http://challenge-1993b
双md5碰撞绕过原理
NLost
02-23 3536
记录一次web解题绕过md5()的方法,仅供参考咯。 $a=$_GET['a']; $b=$_GET['b']; if((md5($a)=md5($b)) and ($a != $b)) echo $flag; else echo "nonono!"; 出现类似要求md5加密后相等且不加密不等的问题便是双md5碰撞。 可以利用PHP中md5函数的特性求解 解法一:0e绕过(科学计数法) 当一个值被md5加密后,其结果以0e开头,则会被当做科学计数法处理,最终会被处理为 0=0的效果,以此绕过。 类似被
2017-赛客夏令营-Web-checkin
Y4tacker的博客
07-26 8269
是我想复杂了,看到Checkin首先以为是找入口然后用扫描器一无所获,无意看一下响应头有个Flag, 通过base64解密 得到flag:ctfhub{744954673597f7fe59765fbc1eba2f6b2f0b2e6d}
2017-赛客夏令营-Web-Fast Running
Y4tacker的博客
07-25 8244
这道题意思是你改完密码后登录要比系统自动更改密码快 这就是两个线程的竞争,下面代码记得改url哦 import requests import threading s = requests.session() class MyThread(threading.Thread): def __init__(self, item): threading.Thread.__init__(self) self.item = item def run(self):
ctfshow刷题记录
missht0的博客
01-23 276
web2 1' union select 1,2,3# 注入点在2 1' union select 1,database(),3# web2 1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=database()# flag,user 1' union select 1,group_concat(column_name),3 from informatio
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值