[BJDCTF2020]Easy MD5 1

2023-11-12 09:18:54 浏览数 (4)

题目环境:

尝试了SQL注入、命令执行等都不行

点击提交并burp进行抓包

Repeater进行重放

这里看到了内置的SQL语句 select * from 'admin' where password=md5($pass,true)

发现传进去的值会进行md5加密

这里看了大佬们的解释

ffifdyop绕过,绕过原理是: ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是’ or ‘6 而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是select * from ‘admin’ where password=’’ or ‘6xxxxx’,等价于 or 一个永真式,因此相当于万能密码,可以绕过md5()函数。

所以说看到这段内置SQL语句,直接使用ffifdyop绕过即可,这就是它的原理

使用ffifdyop进行绕过

F12查看源代码

代码语言:javascript复制
 <!--  
$a = $GET['a'];  
$b = $_GET['b'];   
 if($a != $b && md5($a) == md5($b))
{  
// wow, glzjin wants a girl friend.  
--> 

MD5弱比较通过数组绕过原理:

MD5数组绕过原理是利用了PHP中数组作为参数传递时的hash计算漏洞。在PHP中,数组作为参数传递时会被hash计算,但是MD5函数只能接受字符串类型的参数,因此当数组作为参数传递时,会提示MD5()函数需要一个string类型的参数。为了绕过这个限制,可以通过将数组转化为字符串类型后再进行MD5运算,从而实现绕过绕过限制的目的。

GET方式进行传参: a[]=1&b[]=2

回车:

代码语言:javascript复制
<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
echo $flag;
}

通过POST方式进行传参 弱比较通过数组绕过第一个 MD5强比较仍然可以使用数组进行绕过

POST进行传参: param1[]=1&param2[]=2

得到flag: flag{107355e0-5214-4977-b55f-650e264f2074}

0 人点赞