• BUUCTF [BJDCTF2020]Easy MD5 详解


    搞了好久,这道题,知识点

    (1)  md5(passwrod,true)  返回得时字符串得原始数据

    (2)  php弱类型匹配或数组绕过

    打开题目,我也是很懵逼,看上去像sql注入,但是注入半天也没什么反应,于是我们去看源码,在响应头得地方看到了提示

     果然是sql注入,

    select * from 'admin' where password=md5($pass,true)

    这里面password就是我们用户框中输入得东西。如果通过md5之后返回字符串是'or 1的话,形成一个永真条件,

    select * from 'admin' where password='  'or  '6...'

    看了大佬博客,这个可以用ffifdyop绕过,绕过原理是:
    ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是 ' or '6
    而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是 select * from 'admin' where password='' or '6xxxxx',等价于 or 一个永真式,因此相当于万能密码,可以绕过md5()函数。
    果然,我们提交之后就绕过了这个,来到了另一个页面

     查看源码,我们发现有一个弱类型比较,也可以数组绕过

     由于是get方式,我们可以构造payload:?a[]=1&b[]=2

    绕过之后,我们又来到了这个页面

     POST方式,传param1和param2两个参数,这两个参数还不能相等,但是md5转换后的值还要相等(0e开头)

    典型的md5碰撞嘛,这个是弱比较,所以可以用md5值为0e开头的来撞。这里提供一些md5以后是0e开头的值:

    QNKCDZO
    0e830400451993494058024219903391
    
    s878926199a
    0e545993274517709034328855841020
    
    s155964671a
    0e342768416822451524974117254469
    
    s214587387a
    0e848240448830537924465865611904
    
    s214587387a
    0e848240448830537924465865611904
    
    s878926199a
    0e545993274517709034328855841020
    
    s1091221200a
    0e940624217856561557816327384675
    
    s1885207154a
    0e509367213418206700842008763514
    
    s1502113478a
    0e861580163291561247404381396064
    
    s1885207154a
    0e509367213418206700842008763514
    
    s1836677006a
    0e481036490867661113260034900752
    
    s155964671a
    0e342768416822451524974117254469
    
    s1184209335a
    0e072485820392773389523109082030
    
    s1665632922a
    0e731198061491163073197128363787
    
    s1502113478a
    0e861580163291561247404381396064
    
    s1836677006a
    0e481036490867661113260034900752
    
    s1091221200a
    0e940624217856561557816327384675
    
    s155964671a
    0e342768416822451524974117254469
    
    s1502113478a
    0e861580163291561247404381396064
    
    s155964671a
    0e342768416822451524974117254469
    
    s1665632922a
    0e731198061491163073197128363787
    
    s155964671a
    0e342768416822451524974117254469
    
    s1091221200a
    0e940624217856561557816327384675
    
    s1836677006a
    0e481036490867661113260034900752
    
    s1885207154a
    0e509367213418206700842008763514
    
    s532378020a
    0e220463095855511507588041205815
    
    s878926199a
    0e545993274517709034328855841020
    
    s1091221200a
    0e940624217856561557816327384675
    
    s214587387a
    0e848240448830537924465865611904
    
    s1502113478a
    0e861580163291561247404381396064
    
    s1091221200a
    0e940624217856561557816327384675
    
    s1665632922a
    0e731198061491163073197128363787
    
    s1885207154a
    0e509367213418206700842008763514
    
    s1836677006a
    0e481036490867661113260034900752
    
    s1665632922a
    0e731198061491163073197128363787
    
    s878926199a
    0e545993274517709034328855841020
    

      于是我们利用POST传参

    在这里我们就用md5无法处理数组,然后都返回null,null=null然后就绕过了这个。

    flag{4054608f-7d45-4173-94e3-f874e12c0320}

    总结:

    第一步,提交一个参数,然后再响应头里面找到了hint。并且由此判断是一个sql注入 select * from 'admin' where password=md5($pass,true)

    第二步,我们要想办法绕过这个md5(pass,true),如果我们提交一个字符串经过md5之后,然后又经过hex转assci码最终成为'or '6XXX'的话,我

        们就构造了一个万能钥匙,就可以得到另外一个页面

    第三步,来到另一个页面,我们查看源码,发现需要给a,b两个变量传参典型弱类型匹配md5碰撞(0e开头)。而且md5不能处理数组,遇到数

        组不报错但是会将其转变成NULL

    第四步, 又来到另外一个页面,代码审计,需要给param1和param2  post方式传递两个参数,这里用的强匹配===,不管是强类型还是弱类型,

        md5数组绕过就可以了,最终我们拿到了flag。

    还是md5(pass,true)输出二进制的原始数据,有点脑洞,如果不看别人大佬的博客,可能我是不可能想这么多的。

    md5输出原始数据,请点击参考链接

  • 相关阅读:
    Spring基础07——配置集合属性
    Spring基础06——依赖注入的一些细节
    Spring基础05——Spring依赖注入的三种方式
    Spring基础04——ApplicationContext
    bat文件设置ip自动和静态ip切换
    新增妹子动画
    达梦、oracel、mysql数据库兼容
    日期校验正则表达式
    JAVA实现HTTP请求
    javacv获取视频第一帧
  • 原文地址:https://www.cnblogs.com/junlebao/p/13820591.html
Copyright © 2020-2023  润新知