BugKu——前女友

  这是bugku里面的一道代码审计的题目,里面综合了两个php函数漏洞,md5()函数漏洞和strcmp()函数漏洞,看一下代码。

BugKu——前女友_第1张图片
  可以看出是利用php中的md5()函数漏洞和strcmp()函数漏洞。PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会 认为他们相同,都是0。同时MD5不能处理数组,有时也可以用数组绕过。同时strcmp()函数也可用数组绕过。
BugKu——前女友_第2张图片
所以构造payload
http://47.93.190.246:49162/?v1[]=1&v2[]=2&v3[]=1即可
法二:意思大致就是v1!=v2,md5值相等,之前提到过,是240610708和QNKCDZO,然后比较v3和flag,这里利用了strcmp的一个漏洞,不能比较数组,这里我的构造如下: http://47.93.190.246:49162/?v1=240610708&v2=QNKCDZO&v3[]=1

对比两种方法来看:
法一比法二多利用了一个MD5函数漏洞,MD5不能处理数组,进行了MD5数组绕过。
Payload:?v1[]=1&v2[]=2&v3[]=3 审计代码可知,虽然可以利用MD5漏洞的绕过但是V1不能等于V2,所以V1[]=1 v2[]=2 保证这两个不一样就可以了,或者?v1[]=1&v2[]&v3[]都可以。V3可以用strcmp的绕过。

你可能感兴趣的:(代码审计,web,php函数绕过,CTF,WriteUp,web)