BUUCTF [BJDCTF2020]Easy MD5 详解

搞了好久,这道题,知识点

(1)  md5(passwrod,true)  返回得时字符串得原始数据

(2)  php弱类型匹配或数组绕过

打开题目,我也是很懵逼,看上去像sql注入,但是注入半天也没什么反应,于是我们去看源码,在响应头得地方看到了提示

BUUCTF [BJDCTF2020]Easy MD5 详解

 

 

 果然是sql注入,

select * from 'admin' where password=md5($pass,true)

这里面password就是我们用户框中输入得东西。如果通过md5之后返回字符串是'or 1的话,形成一个永真条件,

select * from 'admin' where password='  'or  '6...'

看了大佬博客,这个可以用ffifdyop绕过,绕过原理是:
ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是 ' or '6
而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是 select * from 'admin' where password='' or '6xxxxx',等价于 or 一个永真式,因此相当于万能密码,可以绕过md5()函数。 果然,我们提交之后就绕过了这个,来到了另一个页面 BUUCTF [BJDCTF2020]Easy MD5 详解

 

 查看源码,我们发现有一个弱类型比较,也可以数组绕过

 

BUUCTF [BJDCTF2020]Easy MD5 详解

 

 由于是get方式,我们可以构造payload:?a[]=1&b[]=2

绕过之后,我们又来到了这个页面

BUUCTF [BJDCTF2020]Easy MD5 详解

 

 POST方式,传param1和param2两个参数,这两个参数还不能相等,但是md5转换后的值还要相等(0e开头)

典型的md5碰撞嘛,这个是弱比较,所以可以用md5值为0e开头的来撞。这里提供一些md5以后是0e开头的值:

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s1885207154a
0e509367213418206700842008763514

s1502113478a
0e861580163291561247404381396064

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s155964671a
0e342768416822451524974117254469

s1184209335a
0e072485820392773389523109082030

s1665632922a
0e731198061491163073197128363787

s1502113478a
0e861580163291561247404381396064

s1836677006a
0e481036490867661113260034900752

s1091221200a
0e940624217856561557816327384675

s155964671a
0e342768416822451524974117254469

s1502113478a
0e861580163291561247404381396064

s155964671a
0e342768416822451524974117254469

s1665632922a
0e731198061491163073197128363787

s155964671a
0e342768416822451524974117254469

s1091221200a
0e940624217856561557816327384675

s1836677006a
0e481036490867661113260034900752

s1885207154a
0e509367213418206700842008763514

s532378020a
0e220463095855511507588041205815

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s214587387a
0e848240448830537924465865611904

s1502113478a
0e861580163291561247404381396064

s1091221200a
0e940624217856561557816327384675

s1665632922a
0e731198061491163073197128363787

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s1665632922a
0e731198061491163073197128363787

s878926199a
0e545993274517709034328855841020

  于是我们利用POST传参

BUUCTF [BJDCTF2020]Easy MD5 详解

 

 我用了MD5碰撞,不知道为什么出不来flag,具体原因还没找出来为什么,下面我再继续搞搞这个,为什么呢?

flag{4054608f-7d45-4173-94e3-f874e12c0320}

上一篇:(17)RPA能否代替人?.docx


下一篇:谷歌支付 Android 之父 9000 万美元,为其性丑闻埋单