[BJDCTF2020]Easy MD5

进入题目是一个提交框

[BJDCTF2020]Easy MD5

提交一个1,发现有个password参数

[BJDCTF2020]Easy MD5

尝试了下常规的sql注入无果,在network中找到hint提示

[BJDCTF2020]Easy MD5

select * from ‘admin‘ where password=md5($pass,true)

这里的MD5我们用ffifdyop来进行绕过,原理是ifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是 ‘ or ‘6。而 Mysql 刚好又会吧 hex 转成 ascii 解释,因此拼接之后的形式是1select * from ‘admin’ where password=’’ or ‘6xxxxx’,进入构成一个永真式。

[BJDCTF2020]Easy MD5

提交后进入一个新页面

[BJDCTF2020]Easy MD5

查看源代码

[BJDCTF2020]Easy MD5

对MD5弱等于进行绕过,且传递方式为GET

payload

http://0166a872-f027-4882-86dc-a59b6c29fed0.node4.buuoj.cn:81/levels91.php?a[]=1&b[]=2

然后又出现一个页面

[BJDCTF2020]Easy MD5

对MD5强等于进行绕过,且传递参数方式为POST

[BJDCTF2020]Easy MD5

拿到flag

[BJDCTF2020]Easy MD5

 

 

 

[BJDCTF2020]Easy MD5

上一篇:class文件分析


下一篇:接受用户键盘输入