这篇博客介绍了在CTF比赛中如何利用备份文件(如.bak)和MD5散列值的特性进行绕过。讨论了PHP中==和===操作符的不同处理方式,以及0e开头的哈希值在PHP中的特殊性。通过实例展示了如何构造payload,包括使用0e开头的字符串和利用数组导致的MD5加密为NULL,来解决特定的挑战问题。
知识点
常用的备份文件后缀有 .bak, .swp
bak是备份文件的扩展名,现在很多软件都会创建备份文件,bak文件是各类软件产生的备份文件。打开bak文件的方法有简单,只需要知道它的生成软件,然后将后缀名改成生成格式的默认软件就可以了。一般把.bak文件直接重命名替换成该文件的格式就可以恢复此文件并正常打开了,如当cad 文件被误删或无法打开时你只需要把bak文件的后缀名改为dwg就可以恢复了,Office文件也是一样。但如果不知道bak文件什么程序产生的,可以利 用WINHEX按二进制文件打开,分析文件头格式,判断是什么类型文件。
两变量值不相等,md5计算散列值后相等的绕过
==的绕过
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。PHP在处理哈希字符串的时候,它把每一个以0e开头并且后面字符均为纯数字的哈希值都解析为0。常见的如下:
在md5加密后以0E开头
QNKCDZO
240610708
s878926199a
s155964671a以下串在sha1加密后以0E开头,并且后面均为纯数字
aaroZmOk
aaK1STfYpayload: /?a=QNKCDZO&b=240610708
<?php if($_GET['a'] !== $_GET['b']){ if(md5($_GET['a']) == md5($_GET['b'])){ echo "flag"; } } ?>===的绕过
===会比较类型,这个时候可以用到PHP中md5()函数无法处理数组(会返回NULL)来实现绕过。
payload: /?a[]=1&b[]=2 (上面==的例子也可以用数组绕过)
<?ph
最低0.47元/天 解锁文章
302
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
