BUUCTF__[BJDCTF2020]Easy MD5_题解

最新推荐文章于 2024-05-02 14:43:09 发布
最新推荐文章于 2024-05-02 14:43:09 发布
阅读量636 收藏 6
点赞数 3
分类专栏: CTF 文章标签: php CTF
原文链接:https://blog.csdn.net/TM_1024/article/details/107174988
版权

转载自https://blog.csdn.net/TM_1024/article/details/107174988

读题

  • 打开一个查询窗口。看url有一个get传入的password变量,f12也没有什么提示。

  • 盲猜sql注入,尝试一般方法,没有一点反应。

  • 抓包发现在响应头里有提示。hint还能放这。。。
    在这里插入图片描述

  • 看到sql查询语句。

      select * from 'admin' where password=md5($pass,true)

   
   
    
   
   
    • 1

  • md5后的pass变量,咋知道密码是什么???

  • 这里的思路是如何让sql语句返回为真,而不是知道密码。所以这是一个知识点。

  • 找到如下。

md5(string, raw) raw 可选,默认为false
true:返回16字符2进制格式
false:返回32字符16进制格式
简单来说就是 true将16进制的md5转化为字符了,如果某一字符串的md5恰好能够产生如’or ’之类的注入语句,就可以进行注入了.
提供一个字符串:ffifdyop
md5后,276f722736c95d99e921722cf9ed621c
转成字符串后: 'or’6

  • 输入特定的字符串,ffifdyop 在经过执行md5(ffifdyop,true) 后会返回 'or'6

  • 再因为数据类型为字符串,所以在sql语句中必然有单引号后双引号包含。这里为单引号包含。凑巧还是故意????

  • 所以构成返回为真的sql语句。

    select * from 'admin' where password=' 'or '6'

   
   
    
   
   
    • 1

  • 这里其实就,不知道就做不出来。。。还可以这样。。。

  • 后面就很简单了

  • 输入ffifdyop查询后,跳转到了另一个PHP页面。f12发现源码。

<!--
$a = $GET['a'];
$b = $_GET['b'];
  • 看到md5()==一看就很简单了,直接传入ab为数组就行,这是因为 md5 函数不能处理数组。或者传入两个md5开头为0e的字符串。

  • md5转换中数组无效
    下列的字符串的MD5值都是0e开头的:
    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a

    • 所以直接构造payload

      ?a=s155964671a&b=s214587387a
或
?a[]=1a&b[]=2

  • 又来到另一个页面,直接给源码。

  • 这里看到md5用的是=== 用上面第一个不行,不过第二个依旧可行

    param1[]=1&param2[]=2

  • 在这里插入图片描述

    • 成功得到flag。

    • php中=====的差别

       `==`    比较值,如果有字符串则会被强制转换类型。abc与0比较时会认为相等
 `===`   比较值和数据类型 。0不会等于0.0

    最后

    • 这题最主要还是知道怎么利用 md5(string, raw)。。。还有先得找到响应头的hint
    • 这题可以了解一下PHP中===== 的差别。
    • 附上题目链接
    • 持续更新BUUCTF题解,写的不是很好,欢迎指正。
    • 最后欢迎来访个人博客
鼹鼠yanshu
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF笔记之Real部分WP(一)
克格莫
02-15 1997
发起一个请求,抓包: 将其修改为POST请求: 然后放进repeater,假加入payload: 写入了一个显示phpinfo的文件,实际操作可以写入一句话。 然后访问这个php: 拿到flag:
BUUCTF-Real
weixin_43821278的博客
03-08 4881
BUUCTF-Real
【CTF Web】BUUCTF [BJDCTF2020]Easy MD5 Writeup(代码审计+PHP+MD5的SQL注入+MD5的0e绕过+MD5的数组绕过)
最新发布
HEX9CF的技术博客
05-02 411
1。
BUUCTF-Real-[Flask]SSTI
分享
02-02 1190
服务端模板注入SSTI,可进行代码执行操作!
BUUCTF题解——MD5
qq_62745045的博客
05-17 227
BUUCTF题解
BUUCTF REAL
A_dmin的博客
01-30 4298
BUUCTF REAL flag好像都在系统环境变量中,phpinfo中就能看见,,,, [PHP]XXE libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡 dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞 payload: <?xml version="1.0" encoding="utf-...
acm.rar_浙江大学 ACM 题解
09-24
【标题】"acm.rar_浙江大学 ACM 题解" 涵盖的是关于浙江大学在ACM(国际大学生程序设计竞赛)方面的训练资料和解题思路。这些资源通常包括历年的竞赛题目、官方解答以及参赛者们分享的解题策略,旨在帮助学习者提升...
leetcode题解_leetcode_leetcode题解_
09-29
《LeetCode题解》是广大程序员提升算法能力和解决实际编程问题的重要资源库。它涵盖了大量来自LeetCode在线编程挑战平台的题目,旨在帮助开发者提升在算法、数据结构以及问题解决能力上的技能。LeetCode题解通常包括...
leetcode部分题解.rar_java_leet 程序员_leetcode
09-21
《LeetCode部分题解&mdash;&mdash;Java程序员的进阶之路》 在程序员的世界里,LeetCode是一个不可或缺的刷题平台,尤其对于Java程序员来说,它提供了大量的编程挑战,旨在提升算法理解、数据结构掌握以及问题解决能力。这个名...
树链剖分_题解_
10-03
题解将详细介绍树链剖分的概念、实现原理以及其在 luoguP3384 题目中的应用。 首先,我们来理解树链剖分的基本思想。给定一棵树,我们希望将其分割成若干个尽可能短的链,使得每个节点到根节点的路径上只经过了...
历年题_CCF题解_
10-04
《历年CCF题解解析》 CCF,全称是中国计算机学会(China Computer Federation),它在计算机领域中扮演着重要角色,特别是在组织和推动计算机科学竞赛方面。每年,CCF都会举办一系列的竞赛,如NOI(全国青少年信息...
BUUCTF - Web - Easy MD5
1tachi的博客
11-27 1643
题目就是一个很普通的表单,F12也看不到什么 随便填个数据抓包看一下 select * from 'admin' where password=md5($pass,true) 看来突破点是md5($pass, true) md5($pass)的意思是计算$pass的MD5的值并返回十六进制格式,如果设置为true,将以二进制的形式返回,这里存在一个漏洞 当$pass = ffifdyop的时候,md5($pass,true) => 'or'6xxxxx <?php $a = 'ffifd
buuctf-[BJDCTF2020]Easy MD5
Nothing-one的博客
11-02 152
打开网站我们可以看到一个类似于sql注入的一个东西。 我们可以向输入进去一个1来看看什么也没有用sql注入显然是不可行的,我们就用bp来进行抓包, 解读一下这个语句其中password后面的就是我们在那个输入框中输入的东西。 这里面我们也就用到了md5中的一个绕过技巧。就是ffifdyop来绕过。 之后我们就可以构造payload?a[]=1&b[]=2; 这样我们就可以看到了 之后我们再用post传值 ...
BUUCTF:[BJDCTF2020]Easy MD5
末初的CSDN博客
11-04 344
题目地址:https://buuoj.cn/challenges#[BJDCTF2020]Easy%20MD5 /leveldo4.php 查询,注入?MD5,联想到那个神奇的字符串ffifdyop ffifdyop PS C:\Users\Administrator> php -r "var_dump(md5('ffifdyop'));" string(32) "276f722736c95d99e921722cf9ed621c" PS C:\Users\Administrator>.
web buuctf [BJDCTF2020]Easy MD51
weixin_44214568的博客
03-14 1440
1.查看源代码,无异常;输入字符串发现传参password,尝试sql注入没有看到异常 2.传参抓包,在respose的消息头内有hint(线索):select * from 'admin' where password=md5($pass,true) 就是说,传参的值经过md5(string,true)后,使sql语句能够执行,完成注入 3.语法:md5(string,raw) 参数 描述 string 必需。要计算的字符串。 raw 可选。 默认不写为
[BJDCTF2020]Easy MD5
Knsec
05-18 995
[BJDCTF2020]Easy MD5
BUUCTF复现记录1
baochigu0818的博客
08-20 950
平台地址:https://buuoj.cn/ 里面很多之前的题目,不错的平台。另外幕后大哥博客https://www.zhaoj.in/ 以下的解题,都是参考各位大佬的WP去复现,重在记录下解题思路 以及了解一些常规姿势。 [CISCN2019 华北赛区 Day2 Web1]Hack World 题目是这样的 已经知道了表名和,列名,只需要想办法读取里面的内容...
字符串加密后md5为 0exxxx 的字符串
weixin_43460822的博客
10-23 593
字符串加密后md5为 0exxxx 的字符串 (x 必须是 10 进制数字) 列表 字符串 MD5 QNKCDZO 0e830400451993494058024219903391 240610708 0e462097431906509019562988736854 aabg7XSs 0e087386482136013740957780965295 aabC9RqS 0e0410225181657...
[BJDCTF2020]Easy MD5 解题思路&过程
iamblackcat's blog
09-11 1007
[BJDCTF2020]Easy MD5解题思路&过程
bugkuctfweb题解simple_ssti_1
06-28
### 回答1: simple_ssti_1 是一个使用 Flask 框架编写的 web CTF 题目,主要涉及到服务器端模板注入 (Server-Side Template Injection, SSTI) 的问题。 这个题目中,使用者可以在输入框中输入任意字符串,然后后端会将这个字符串嵌入到一个 Flask 模板中,并将渲染后的页面返回给用户。攻击者可以在输入框中输入包含 SSTI 代码的字符串,从而在服务器上执行任意代码。 为了解决这个问题,可以使用 Flask 的 Jinja2 模板引擎提供的 safe 过滤器来过滤用户输入,防止用户输入的字符串被作为代码执行。或者在编写模板时,尽量避免使用可执行的表达式,而是将变量放在 HTML 标签中输出。 这个题目是一个很好的 SSTI 注入练习题目,可以帮助我们了解 SSTI 注入的危害和防御方法。 ### 回答2: Simple_ssti_1是BugsKiller CTF比赛中的一道Web题目,考察的知识点是SSTI(Server-Side Template Injection)模板注入,需要寻找漏洞点并利用SSTI漏洞构造payload,达到读取/执行任意代码的目的。 首先,我们下载题目附件simple_ssti_1.zip,获得题目源代码及相关文件。查看代码,发现以下几点: 1. 程序的入口是index.php文件,包含了一个GET参数tpl,可控注入的点在这里。 2. 向模板文件simple_ssti_1_template.html中传入tpl参数,在该文件中执行了{{tpl}}操作,将tpl参数进行了模板渲染。 3. SSTI的注入点在于,如果我们的攻击payload中包含了一些特殊模板语法的操作符,如{{3*3}}、{{config}}等,这些操作符会被解析器自动执行,导致代码注入进去。 从上述代码的分析可知,我们首先需要构造包含有SSTI操作符的payload才能进行下一步的SSTI构造。继续观察代码,我们发现一个{{config}}变量被渲染在了simple_ssti_1_template.html的头部中,我们可以通过注入payload来构造一个同名的config变量,从而读取根目录的敏感文件/flag.php。 构造payload : {{config.__class__.__init__.__globals__['os'].popen('cat flag.php').read()}} 这个SSTI注入的payload实现了直接运行命令cat flag.php然后读取文件的操作。注入的{{config}}变量实际上是一个自定义的config字典,含有很多内置函数,比如__class__.__init__.__globals__,它的作用是获取全局变量__builtins__,然后通过这个全局字典来获取os模块,之后就可以使用os模块的popen函数运行cat命令来获取flag.php文件内容了。 最终的payload为: ?tpl={{config.__class__.__init__.__globals__['os'].popen('cat /flag.php').read()}} 再通过浏览器发送带有payload的GET请求,就可以读取/root/flag.php中的flag了。 ### 回答3: 简单SSTI 1是一道基于SSTI漏洞的Web安全挑战题目,该题的难度属于初级。本题需要掌握一定的SSTI漏洞的相关知识和技巧,以及对模板中的变量注入点的识别和利用能力。 首先,我们尝试在输入框中输入简单的Python表达式,例如{{2+2}},并提交请求,发现得到的响应结果为4,表明该网站存在SSTI漏洞。接着,我们可以构造一些特殊的表达式进行测试,例如{{123456789}}, {{2**100}}, {{'hello ' + 'world'}}, 发现均能得到正确的响应结果。 接着我们需要进行变量注入点的识别和利用,这里,我们可以通过利用flask框架中的特殊变量,例如request、g等来实现变量注入,例如{{config}},可以获得flask的配置信息,{{request}}可以获得当前请求的一些信息。需要注意的是,在实战中,这些利用方式可能会受到服务器的限制,无法完全实现。 最后,我们需要尝试获取敏感信息或者升级我们的权限,例如{{''.__class__.mro()[1].__subclasses__()[71]('/etc/passwd').read()}},可以获取到服务器上/etc/passwd文件的内容。 总之,简单的SSTI漏洞需要熟练掌握SSTI漏洞的相关知识和技巧,识别变量注入点并利用它们获取敏感信息和升级权限,可以通过CTF题目学习,提高自己的Web安全攻防能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值