这里分享一道HECTF的题目
【BOOM】ezphp
一,源码
<?php
error_reporting(0);
highlight_file(__file__);
include('flag.php'); //包含flag.php文件,flag在其中。
$string_1 = $_GET['str1'];
$string_2 = $_GET['str2'];
if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['param2'])){
//这里可利用php中md5的特性绕过
if(is_numeric($string_1)){ //这里只需要string_1是数组即可。
$md5_1 = md5($string_1);
$md5_2 = md5($string_2);
if($md5_1 != $md5_2){ //这里的绕过即md5的存在碰撞的安全漏洞。
$a = strtr($md5_1, 'cxhp', '0123');
$b = strtr($md5_2, 'cxhp', '0123');
if($a == $b){//strtr的变换其实可以忽略。
echo $flag;
}
}
else {
die("md5 is wrong");
}
}
else {
die('str1 not number');
}
}
?>
二,代码审计
详细介绍见注释。
以下列出会发生md5碰撞的数组和字符串。
数组
240610708
0e462097431906509019562988736854
9081940
0e9523c2c4430c555306879508688312
2120624
0e85776838554cc1775842c212686416
字符串
QNKCDZO
0e830400451993494058024219903391
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
三,playload
并不唯一,只要满足绕过的条件即可,以下举一例。
url?param1[]=2¶m2[]=1&str1=2120624&str2=9081940
四,复现
此次复现依旧使用phpstudy搭建的环境。
效果展示: