[MRCTF2020]Ez_bypass1

当我们传入1234567a时，就是字符型和数字型进行比较，所以当传入的值passwd=123456a的时候：则会先把1234567admin转化成1234567再进行比较。这里根据第一段代码段代码所写，要用get传入id和gg两个参数，id和gg的值要求不能相等，但是id和gg的。首先就是要进行一个仔细的代码审计，分析它每一个循环体所写的内容，后面还有MD5强比较，php的弱绕过等。（1）进入环境后又是很长的代码 ，需要进行仔细的代码审计，看看它所写的内容。然后进入下一个循环体，这里出现了这个函数。

md5函数不能处理数组，处理数组会报错，就会返回null,然后经过md5就相等了，传入的参数不同，gg和id的值就不同。b=240610708,加密后为0e462097431906509019562988736854。有了回显,是一个warning的报错说明我们的GET的md5弱比较执行成功,接着审计剩下的代码。a=QNKCDZO,加密后为0e830400451993494058024219903391。=b，也满足了md5($a) == md5($b）修改后直接发送包获得flag。

这是严格不相等运算符，它不仅会比较两个值的数值是否相等，还会比较它们的数据类型是否相等。它在比较时会进行类型转换，将操作数转换为相同的类型，然后再进行比较。：这是非严格不相等运算符，它只会比较两个值的数值是否相等，不会考虑数据类型。只要数值不相等，不论数据类型是否相同，如果传入的两个参数不是字符串，而是数组，md5()函数无法解出其数值，并且不会报错，就会得到===强比较的值相等。此时md5（para1）=== md5（para2）"==="与"=="：在PHP中，最终，比较的结果是两个整数的比较，

BUUCTF的[MRCTF2020]Ez_bypass 1

[MRCTF2020]Ez_bypass1(md5绕过)

我们知道，md5强比较绕过有两种方法，第一种数组绕过，因为md5无法处理数组，返回null时即为true，第二种就是用两个完全相同的md5值绕过，即。我们要用get传入id和gg两个参数，id和gg的值要求不能相等，但是id和gg的md5强比较必须相等。因为变更请求时，bp会将get的参数变为post，所以我们需要重新写入。需要注意的点时，此时如果重发包过去，页面是没有反应的。所以，我们用get传入?我们需要将原先的get传入的参数复制了放在请求行上。这样我们就得到了flag。

代码审计（md5和php弱类型比较） 查看源代码 【注】添加了部分注释 if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) && $id !== $gg) { // 要求$id和$gg的md5不同但是加密结果相同 echo 'You got the first step';

第一个考点是md5强绕过，因为这里是===，所以是强绕过，此时只用传入数组即可，因为md5()函数无法处理数组，传入数组会返回NULL，所以两个数组加密后都是NULL。第二个是绕过is_numeric函数，is_numeric函数传入空字符%00，判断为非数值，使用hackbar传参即可。gg[]=1&&id[]=2成功绕过md5函数。1.本题比较简单，首先打开可以看到源代码。