[BJDCTF2020]Easy MD5——Login--password='".md5($pass,true)."'绕过md5进行注入

Login–password=’".md5($pass,true)."’

进入题目，有一个输入框，让你输入密码，发现输入啥都没变化：
源码中一点线索也没有。
我们随便输入并抓个包看看又什么秘密：
发现提示hint：

select * from 'admin' where password=md5($pass,true)，

或者在开发这里面：看到响应头有提示：

现在就可以确定是个sql注入了。可是password=md5($pass,true)是tmd什么意思呢？原来这里是绕过md5进行注入。
这里我是真的没想到：
md5(string,true)函数在指定了true的时候，是返回的原始 16 字符二进制格式。也就是说会返回这样子的字符串：'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c

这不是普通的二进制字符串，而是’or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种。这样的话就会和前面的形成闭合，构成万能密码。

select * from 'admin' where password=''or'6.......'

这就是永真的了，这就是一个万能密码了相当于1’ or 1=1#或1’ or 1#。接下来就是找到这样子的字符串。
writeup里面就是给的 ffifdyop ，即：

content: ffifdyop
hex: 276f722736c95d99e921722cf9ed621c
raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
string: 'or'6]!r,b

那就直接用了。
但是我们思考一下为什么6\xc9]\x99\xe9!r,\xf9\xedb\x1c的布尔值是true呢？

在mysql里面，在用作布尔型判断时，以1开头的字符串会被当做整型数（这类似于PHP的弱类型）。要注意的是这种情况是必须要有单引号括起来的，比如password=‘xxx’ or ‘1xxxxxxxxx’，那么就相当于password=‘xxx’ or 1 ，也就相当于password=‘xxx’ or true，所以返回值就是true。这里不只是1开头，只要是数字开头都是可以的。
当然如果只有数字的话，就不需要单引号，比如password=‘xxx’ or 1，那么返回值也是true。（xxx指代任意字符）

我们输入这个ffifdyop字符串以后出现以下的页面：

我们查看源代码，发现php代码：

这就简单了，可以用网上找的md5碰撞，我们这里用php数组绕过，由于哈希函数无法处理php数组，在遇到数组时返回false，我们就可以利用false==false成立使条件成立。
构造

/levels91.php?a[]=1&b[]=2      //a不等于b

出现一下页面：
成了php三等号===强类型比较了，那就不能用md5碰撞了，只能用数组，我们POST数据：

得到flag。

总结

开眼界了，长见识了。
Login–password=’".md5($pass,true)."'绕过md5进行注入：
md5(string,true)函数在指定了true的时候，是返回的原始 16 字符二进制格式。也就是说会返回这样子的字符串：'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c
不是普通的二进制字符串，而是’or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c 这种。这样的话就会和前面的形成闭合，构成万能密码。

select * from 'admin' where password=''or'6.......'

这就是永真的了，这就是一个万能密码了相当于1’ or 1=1#或1’ or 1#。