Web 攻防:PHP特性漏洞 - MD5值比较绕过

于 2024-06-02 23:36:37 发布
阅读量608 收藏 7
点赞数 15
分类专栏: Cyber Security 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43320796/article/details/139399824
版权

MD5 值比较绕过

1. MD5 简介

  • md5() 函数计算字符串的 MD5 散列。

1.1 语法

md5(string,raw)
  1. string:必需。规定要计算的字符串。
  2. raw:可选。规定十六进制或二进制输出格式:
    • TRUE - 原始 16 字符二进制格式
    • FALSE - 默认。32 字符十六进制数

1.2 返回值

  • 计算成功,返回MD5值。
  • 计算失败,返回false。

1.3用法

<?php
	$str = "Hello";
	echo md5($str);
?>

8b1a9953c4611296a827abf8c47804d7

2. 0e 绕过:科学计数法

2.1 介绍

  • MD5() 遇到公式,会运算公式,在对公式的值计算 md5 的值。
  • 由于 0 和任何数相乘都等于0,所以 0e 开头的任何数MD5都是相同的。

科学计数法,大小等价,0e 和 0E 结果相同。
格式为:aEb = a × 10^b,即 a 乘以 10 的 b 次幂。

2.2 实例

<?php
    var_dump(md5(0));
    var_dump(md5(0e123));
    var_dump(md5(0e456));
?>

输出:

string(32) "cfcd208495d565ef66e7dff9f98764da"
string(32) "cfcd208495d565ef66e7dff9f98764da"
string(32) "cfcd208495d565ef66e7dff9f98764da"

2.3 绕过思路(一)

  • 遇到强、弱比较( md5(a)===md5(b)md5(a)==md5(b) ),可以使用 0e 绕过。
<?php
    var_dump(md5(0e123) === md5(0e456));
    var_dump(md5(0e123) == md5(0e456));
?>

输出:

bool(true)
bool(true)

2.4 绕过思路(二)

  • 遇到弱比较( md5(a)==0 ),可以传入QNKCDZO等绕过。

0e绕过还有一种变体:如果某个字符串的MD5值是0e开头的,在比较时,PHP也会先把它计算成 0,再参与比较。

<?php
	echo md5('QNKCDZO');
	var_dump(md5('QNKCDZO') == 0);
	var_dump(md5('QNKCDZO') === 0);
?>

输出:

0e830400451993494058024219903391
bool(true)
bool(false)

一些MD5值为0e开头的字符串:

QNKCDZO   => 0e830400451993494058024219903391
240610708 => 0e462097431906509019562988736854
s878926199a => 0e545993274517709034328855841020
s155964671a => 0e342768416822451524974117254469
s214587387a => 0e848240448830537924465865611904
s214587387a => 0e848240448830537924465865611904

3. 数组绕过

  • md5() 不能处理数组,数组都返回 null。同时会报一个Warning,不影响执行,不用管。
<?php
	var_dump(md5([1]));
	var_dump(md5([2]));
?>

输出:

Warning: md5() expects parameter 1 to be string, array given in /box/script.php on line 2
NULL

Warning: md5() expects parameter 1 to be string, array given in /box/script.php on line 3
NULL

3.1 绕过思路(一)

  • 遇到强比较(a===b)时,可以使用数组绕过。GET传参时,以 a[]=1&b[]=2 这种形式传递数组。
<?php
    $a = array(1);
    $b = array(2);

    var_dump(md5($a) == md5($b));
    var_dump(md5($a) === md5($b));
?>

输出:

Warning: md5() expects parameter 1 to be string, array given in /box/script.php on line 2

Warning: md5() expects parameter 1 to be string, array given in /box/script.php on line 2
bool(true)

Warning: md5() expects parameter 1 to be string, array given in /box/script.php on line 3

Warning: md5() expects parameter 1 to be string, array given in /box/script.php on line 3
bool(true)

4. 算数运算配合自动类型转换

4.1 运算符绕过

  • md5() 遇到运算符,会先运算,再计算结果的MD5值。
<?php 
    var_dump(md5(1 + 2));
    var_dump(md5(3));
    var_dump(md5(1 * 2));
    var_dump(md5(2));
    var_dump(md5(1 & 1));
    var_dump(md5(true));

输出:

string(32) "eccbc87e4b5ce2fe28308fd9f2a7baf3"
string(32) "eccbc87e4b5ce2fe28308fd9f2a7baf3"
string(32) "c81e728d9d4c2f636f067f89cc14862c"
string(32) "c81e728d9d4c2f636f067f89cc14862c"
string(32) "c4ca4238a0b923820dcc509a6f75849b"
string(32) "c4ca4238a0b923820dcc509a6f75849b"

4.2 运算符 + 类型转换

  • 当字符串与数字类型运算时,会将字符串转换字符串转换成数字类型,再参与运算,最后计算运算结果的MD5值。
<?php 
    var_dump(md5('1' + 2));
    var_dump(md5(3));
    var_dump(md5('1' * 2));
    var_dump(md5(2));

输出:

string(32) "eccbc87e4b5ce2fe28308fd9f2a7baf3"
string(32) "eccbc87e4b5ce2fe28308fd9f2a7baf3"
string(32) "c81e728d9d4c2f636f067f89cc14862c"
string(32) "c81e728d9d4c2f636f067f89cc14862c"

5. 数值类型

  • 虽然 md5() 要求传入字符串,但传入整数或小数也不会报错;数字相同时,数值型和字符串的计算结果是相同的。
<?php 
    var_dump(md5(123));
    var_dump(md5('123'));
    var_dump(md5(10.1));
    var_dump(md5('10.1'));

输出:

string(32) "202cb962ac59075b964b07152d234b70"
string(32) "202cb962ac59075b964b07152d234b70"
string(32) "88d1955de012defb14b2db6f4797ff20"
string(32) "88d1955de012defb14b2db6f4797ff20"
HC-KAY
关注
  • 15
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
密码学:MD5加密漏洞(MD5绕过方式-0e绕过/数组绕过/MD5碰撞/MD5SQL注入)
wangyuxiang946的博客
08-21 1万+
MD5是一种散列函数,是哈希算法的一种,可以将任意长度的输入,通过散列算法变换成128位的散列 MD5加密有4种绕过方式 0e绕过 数组绕过 MD5碰撞 MD5SQL注入 0e绕过 0e开头的字符串在参与比较时,会被当做科学计数法,结果转换为0 比如将两个md5进行弱类型比较 md5('QNKCDZO') == md5(240610708) MD5加密后会变成这个样子 0e830400451993494058024219903391 == 0e4620974319...
PHP黑魔法之md5绕过
最新发布
Thewei666的博客
05-14 402
示例:240610708和ONKCDZ0的md5相似,但并不相同,在"=="相等操作符的运算下,结果会返回true(sha1和Md5一样)在两种情况下,会导致变量原不同但 md5 或 sha1 相同。
php mysql 绕过_PHPmd5绕过
weixin_31221157的博客
02-28 294
一、md5($password,true)的SQL注入问题这里要提到一下MySQL中的数比较问题。1、当数字和字符串比较时,若字符串的数字部分(需要从头开始)和数字是相同的,那么则返回的是true。select if(1="1abcd","等于","不等于") as test;if(exp1,stat1,stat2)类似于高级语言中三元运算符。当exp1为true的是否返回stat1,为fals...
PHP md5()函数详解,PHP计算MD5md5()绕过md5()漏洞原理剖析
热门推荐
wangyuxiang946的博客
07-31 1万+
md5() 可以计算字符串的「MD5散列」。计算成功,就返回MD5;计算失败,就返回false。
PHPMD5常见绕过
iczfy585的博客
05-12 1万+
PHPmd5绕过md5($password,true)的SQL注入问题两变量不相等,md5计算散列后相等的绕过MD5碰撞 函数: md5($string,bool): 得到一个字符串散列。 其中第二个参数默认为false,表示该函数返回是32个字符的十六进制数。 若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 md5($password,true)的SQL注入问题 这里需要注意一下MYSQL中的一些数比较的特征。 1.当数字和字符串比较时,若字符
CVE-2020-13933 靶场: shiro 认证绕过漏洞.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
WEB安全漏洞攻防-基础.pptx
08-24
WEB安全漏洞攻防-基础.pptx
MD5 SHA-512.zip
07-04
MD5被广泛用于文件校验,比如在下载文件后,通过计算本地文件和源服务器文件的MD5来确认文件是否完整无误。然而,由于MD5的碰撞易发性,即存在两个不同的输入可以产生相同的输出,因此它在安全性要求高的场景中...
PHP绕过MD5比较的各种姿势
b1ackc4t的博客
08-27 2454
1.用==进行弱类型比较时, 可以通过两个0e开头后面纯数字的md5绕过 php在进行弱类型比较时,如果为字符串为纯数字,包括浮点数、科学计数法、十六进制数等,都会转化为数字类型再进行比较,利用这点,0e开头的科学计数法大小均为0,所有均相等,即可绕过 以下实例的md5均满足0e开头纯数字 byGcY sonZ7y 240610708 s878926199a s155964671a s214587387a s214587387a s878926199a QNKCDZO aabg7XS
PHPMD5加密的简单绕过及基于MD5加密的SQL注入
Landasika的博客
12-10 5276
部分内容参考于: sql注入:md5($password,true)_March97的博客-CSDN博客_md5($pass,true) 目录 一、简介 二、基于PHP漏洞绕过 1、MD5比较“==”绕过 2、MD5比较“===”绕过 三、有关SQL注入的MD5绕过 1、起因 2、注入原理 一、简介 md5() 函数计算字符串的 MD5 散列。 MD5 报文摘要算法将任意长度的信息作为输入,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"来..
php MD5比较绕过
海纳百川
05-31 5005
php MD5比较绕过 关于 md5() 函数 在 php 程序中,md5($string,bool): 得到一个字符串散列。其中第二个参数默认为false,表示该函数返回是32个字符的十六进制数。若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 == 绕过 示例: if($_POST['a'] != $_POST['b']&& md5($_POST['a']) == md5($_POST['b'])) { echo $flag; }
MD5绕过
m0_64236521的博客
02-03 748
md5绕过
PHP特性之CTF中常见的PHP绕过
Welcome To Myon'Blog !
07-18 5943
一、关于md5()和sha1()的常见绕过 1、使用数组绕过 2、 使用特殊字符串绕过 二、strcmp绕过 三、switch绕过 四、intval绕过
MD5绕过(强弱类型比较
weixin_43332695的博客
08-03 6965
文章目录前言一、强类型比较(===)和弱类型(==)比较区别二、MD5弱类型绕过1.0e绕过2.数组绕过三、MD5强类型绕过1、2、数组绕过四、特定条件下的MD验证绕过:ffifdyop总结 前言 在刷题的时候遇到,强弱类型比较MD5的验证,就简单的总结记录一下 一、强类型比较(=)和弱类型()比较区别 首先,我们来看一下php对类型比较的解释 松散比较也就是弱类型比较,严格比较就是强类型比较 a==b:弱类型比较会将a和b转成统一数据类型在进行比较,而强类型比较会先判断a和b是不是相同类型,不是
PHP md5()函数详解,PHP计算MD5md5()绕过md5()漏洞原理剖析(1)
m0_57540655的博客
04-18 445
0e绕过还有一种变体:如果某个字符串的MD5是0e开头的,在比较时,PHP也会先把它计算成 0,再参与比较。数字相同时,数型和字符串的计算结果是相同的。md5() 不能处理数组,数组都返回null。同时会报一个Warning,不影响执行,不用管。当字符串与数字类型运算时,会将字符串转换成数字类型,再参与运算,最后计算运算结果的MD5md5() 遇到运算符,会先运算,再计算结果的MD5。)时,可以使用数组绕过。),可以传入QNKCDZO等绕过。)时,可以使用 0e绕过绕过思路:遇到强比较
MD5比较&0e绕过
VZS_0的博客
12-15 287
题目来源于[SWPUCTF 2021 新生赛]easy_md5比较:使用三个 ''==='' 比较比较,也比较类型弱比较:使用两个 ''=='' 比较,只比较,不比较类型转换规则:1.字符型和字符型比较,为同类型,比较其内容 2.数字型和数字型比较,同上 3.字符型和数字型比较,若字符型开头为数字,转为数字; 若开头不为数字,为 null (弱比较)与 0 相等。[1]字符型和数型的弱比较 先看字符串开
CTF:PHP MD5函数0E绕过漏洞
06-01 1万+
CTF:PHP MD5函数0E绕过漏洞 作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.1 8:43 背景 昨天参加了一场CTF线上赛,面对行业内的安全强队,比赛成绩相差巨大。通过这次比赛,找到了差距,找到了不足,更增长了知识。子曰:“学而不思则罔,思而不学则殆。”计划将经后每次比赛,解题过程中的困惑、思路、整理后分享出来,以达起到巩固知识,也便于帮助有需要的人。因个人能力所限,文中难免会有错误,不妥之处还请批评指正。 赛题源码 ...
攻防世界---Web---新手模式---backup
11-11
题目描述:在攻防世界的Web新手模式中,有一道名为backup的题目。该题目要求找到备份文件并获取flag。可以通过访问http://your-ip/backup/来查看备份文件,但是需要密码才能访问。我们可以通过查看网页源代码或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值