buuctf- [BJDCTF2020]Easy MD5 (小宇特详解)

buuctf- [BJDCTF2020]Easy MD5 (小宇特详解)

这里显示查询

这里没有回显，f12一下查看有没有有用的信息

我使用的火狐浏览器在网模块中找到了响应头

Hint：select * from ‘admin’ where password =md5($pass,ture)

这里的关键在于password=md5($pass,ture)

MD5语法

标准格式

md5(string,raw)

参数	描述
string	必需。要计算的字符串。
raw	可选。规定十六进制或二进制输出格式： TRUE-原始 16字符二进制格式 。 FALSE-默认 32字符十六进制数。

这里的是原始16字符二进制格式

这里说一下两个的联系，这里的16位秘文和32位秘文的第8-24位子字符串时一样的，也就是中间的16位。

这里的原始16字符二进制格式一般会有乱码，如果想解决的话

1.对输出的16位字节的二进制转换为十六进制。

2.取32位秘文的中间16位

如果MD5值经过hex后，就构成万能密码进行了sql注入，这个就是这个题的关键

在mysql里面，在用作布尔型判断时，以数字开头的字符串会被当做整型数。

要注意的是这种情况是必须要有单引号括起来的，比如password=‘xxx’ or ‘1xxxxxxxxx’，那么就相当于password=‘xxx’ or 1 ，也就相当于password=‘xxx’ or true，所以返回值就是true。

如果只有数字的话就不用单引号

这里有个脚本能够跑出来

 
for ($i = 0;;) { 
 for ($c = 0; $c < 1000000; $c++, $i++)
  if (stripos(md5($i, true), '\'or\'') !== false)
   echo "\nmd5($i) = " . md5($i, true) . "\n";
 echo ".";
}
?>

这里用：ffifdyop,这个MD5加密后会返回’or’6XXXXXXXXX(这里的XXXXX是一些乱码和不可见字符)

这里的SQL语句会变成

select * from `admin` where password=''or'6XXXXXXXXX'  

进入下一关

查看源码

<!--
$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){
    // wow, glzjin wants a girl friend.
-->

这里使用了==弱比较

== 在进行比较的时候，会先将两边的变量类型转化成相同的，再进行比较

0e在比较的时候会将其视作为科学计数法，所以无论0e后面是什么，0的多少次方还是0。

这里完全可以去寻找明文不同但MD5值为"0exxxxx"

这里提供两个QNKCDZO和s878926199a

构造payload

http://37d8016d-643c-4764-8e62-c8a24e224a75.node3.buuoj.cn/levels91.php?a=QNKCDZO&b=s878926199a

这里用POST的方式传入了两个不相等的参数，然而这两个参数的MD5值要相等，并且是===强比较

MD5有个特点是：如果传入的两个参数不是字符串，而是数组，md5()函数无法解出其数值，而且不会报错，就会得到===强比较的值相等

payload

param1[]=1¶m2[]=2即可