[BJDCTF2020]Easy MD5——Login--password='".md5($pass,true)."'绕过md5进行注入

Login–password=’".md5($pass,true)."’

进入题目,有一个输入框,让你输入密码,发现输入啥都没变化:[BJDCTF2020]Easy MD5——Login--password='
源码中一点线索也没有。
我们随便输入并抓个包看看又什么秘密:[BJDCTF2020]Easy MD5——Login--password='
发现提示hint:

select * from 'admin' where password=md5($pass,true)

或者在开发这里面:看到响应头有提示:
[BJDCTF2020]Easy MD5——Login--password='

现在就可以确定是个sql注入了。可是password=md5($pass,true)是tmd什么意思呢?原来这里是绕过md5进行注入。
这里我是真的没想到:
md5(string,true)函数在指定了true的时候,是返回的原始 16 字符二进制格式。也就是说会返回这样子的字符串:'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c

[BJDCTF2020]Easy MD5——Login--password='

这不是普通的二进制字符串,而是’or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种。这样的话就会和前面的形成闭合,构成万能密码。

select * from 'admin' where password=''or'6.......'

这就是永真的了,这就是一个万能密码了相当于1’ or 1=1#或1’ or 1#。接下来就是找到这样子的字符串。
writeup里面就是给的 ffifdyop ,即:

content: ffifdyop
hex: 276f722736c95d99e921722cf9ed621c
raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
string: 'or'6]!r,b

那就直接用了。
但是我们思考一下为什么6\xc9]\x99\xe9!r,\xf9\xedb\x1c的布尔值是true呢?

在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数(这类似于PHP的弱类型)。要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。这里不只是1开头,只要是数字开头都是可以的。
当然如果只有数字的话,就不需要单引号,比如password=‘xxx’ or 1,那么返回值也是true。(xxx指代任意字符)

我们输入这个ffifdyop字符串以后出现以下的页面:
[BJDCTF2020]Easy MD5——Login--password='
我们查看源代码,发现php代码:
[BJDCTF2020]Easy MD5——Login--password='
这就简单了,可以用网上找的md5碰撞,我们这里用php数组绕过,由于哈希函数无法处理php数组,在遇到数组时返回false,我们就可以利用false==false成立使条件成立。
构造

/levels91.php?a[]=1&b[]=2      //a不等于b

出现一下页面:[BJDCTF2020]Easy MD5——Login--password='
成了php三等号===强类型比较了,那就不能用md5碰撞了,只能用数组,我们POST数据:
[BJDCTF2020]Easy MD5——Login--password='
得到flag。

总结

开眼界了,长见识了。
Login–password=’".md5($pass,true)."'绕过md5进行注入:
md5(string,true)函数在指定了true的时候,是返回的原始 16 字符二进制格式。也就是说会返回这样子的字符串:'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c
不是普通的二进制字符串,而是’or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种。这样的话就会和前面的形成闭合,构成万能密码。

select * from 'admin' where password=''or'6.......'

这就是永真的了,这就是一个万能密码了相当于1’ or 1=1#或1’ or 1#。

你可能感兴趣的:(CTF-Web)