[BJDCTF2020]Easy MD51

原创 已于 2025-01-12 10:43:36 修改 · 900 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#网络 #CTF
于 2025-01-12 10:19:54 首次发布

首先打开靶机,只有一个输入框

用bp查看一下

这里有个提示,根据提示知道,要在输入框中传入字符,经过MD5加密之后,构成SQL注入的语句,也就是 ' ' or True

因为mysql在进行布尔型判断时,以数字开头的字符串会被转换成整型,所以只要MD5之后的字符串是 ‘ ’ or数字xxxx就可以。

这里通过百度检索到一个神奇的字符串:ffifdyop,这个字符串加密之后是 ’or’6XXXXXXXXX

则SQL语句就被拼接为:select * from 'admin' where password=''or '6xxx ,会被MYSQL认为

select * from 'admin' where password='' or 6,这就完成了SQL注入。输入后进入下一个页面,直接看bp抓到的源码

根据提示,通过GET方式传入a b两个参数,且a和b不相等,MD5加密后相等

这里有2个思路,一个是利用弱等于,让a b不同,但是MD5加密之后都是同一个数字开头的字符串。也可以让a b不同,且都是数组。因为PHP的MD5函数加密数组返回的实NULL,则可以绕过检测。

这里给出一些MD5之后以数字打头的一些字符串

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s1885207154a
0e509367213418206700842008763514

s1502113478a
0e861580163291561247404381396064

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s155964671a
0e342768416822451524974117254469

s1184209335a
0e072485820392773389523109082030

s1665632922a
0e731198061491163073197128363787

s1502113478a
0e861580163291561247404381396064

s1836677006a
0e481036490867661113260034900752

s1091221200a
0e940624217856561557816327384675

s155964671a
0e342768416822451524974117254469

s1502113478a
0e861580163291561247404381396064

s155964671a
0e342768416822451524974117254469

s1665632922a
0e731198061491163073197128363787

s155964671a
0e342768416822451524974117254469

s1091221200a
0e940624217856561557816327384675

s1836677006a
0e481036490867661113260034900752

s1885207154a
0e509367213418206700842008763514

s532378020a
0e220463095855511507588041205815

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s214587387a
0e848240448830537924465865611904

s1502113478a
0e861580163291561247404381396064

s1091221200a
0e940624217856561557816327384675

s1665632922a
0e731198061491163073197128363787

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s1665632922a
0e731198061491163073197128363787

s878926199a
0e545993274517709034328855841020

随便选2个给a b通过get方法传入即可。接着进入下一关 

可以看到跟上一关,类似,不过是POST方法传入2个参数,直接比较不相等,加密后相等。这里利用数组,param1[]=11&param2[]=22,要注意的是利用bp把GET方法修改为POST方法时,除了改方法类型,还要添加下面这个请求头

Content-Type: application/x-www-form-urlencoded

BUUCTF [BJDCTF2020]Easy MD51 解析WP
m0_73615178的博客
01-07 1887
首先,看题有个文本框和一个提交按钮,那么大致注入点从注入框下手,随意输入一个值,通过抓包和分析网址得出,传参方式为GET方式,后端判断语句为sql语句“select * from 'admin' where password=md5($pass,true)”,其中利用散列函数md5加密了password。MD5函数介绍, 语法:md5(string,raw),其中string要计算的字符串,raw(可选)规定十六进制或二进制输出格式true为原始16字符二进制格式,默认false32字符16进制格式。
BUUCTF [BJDCTF2020]Easy MD5 1
最新发布
fantishi的博客
04-26 204
可以看到,Hint这里select * from 'admin' where password=md5($pass,true)拼入sql语句里select * from admin where password=''or'6�]��!从上面源码可以看到他将传入的a,b两个参数进行了md5加密,然后进行了弱比较(==)这次和第二关不一样在于,变为了强比较(===),就不可以使用弱比较的基础办法。ffifdyop md5二进制加密后是'or'6�]��!弱比较有个特点,例如:0abc==0njh。
buuctf- [BJDCTF2020]Easy MD5
2401_84893440的博客
03-20 597
MD5(Message Digest Algorithm 5)是一种广泛使用的 哈希函数,由 Ronald Rivest 在 1991 年设计。它可以将任意长度的输入数据转换为一个固定长度(128 位,即 32 个十六进制字符)的哈希值。跳转到新的页面并查看源码找新的页面levell14.php。可以利用md5在传入两个数组时,会返回null值 这样就能使两个参数在md5加密后的类型是一致的。我们从网上寻找两个值加密后以0e开头,且0e后面是纯数字的字符串即可。构造payload即可。
[BJDCTF2020]Easy MD5 1
qq_51175992的博客
07-12 1018
考察MD5函数的绕过方法
BUU19 [BJDCTF2020]Easy MD51
2401_86190146的博客
02-05 1301
5.未初始化的变量:在一些情况下,未初始化的变量如果在条件判断中使用,会发出警告并且被视为 false。如果md5($pass,true)后是' ' or 1 那么整句话就是password=' ' or 1,此时必定会返回1(也就是true)1.使用数组绕过:数组经过md5加密以后结果为null,比较则相等。为假的情况:1.空字符串 比如说 " " 或者 ' '这样也不对,不知道为啥。的形式进行返回,因 MD5 函数的返回值类型为。,而 ASCII 中的字符的编号范围为。,两者的范围不对等。
[BJDCTF2020]Easy MD51 不用记特定MD5
2402_85443844的博客
03-20 630
根据提示,通过GET方式传入a,b两个参数,且a和b不相等,MD5加密后相等,这里有2个思路,一个是利用弱等于,让a,b不同,但是MD5加密之后都是同一个数字开头的字符串。也可以让a,b不同,且都是数组,看到这种弱等于直接简单粗暴传入数组。进入下一关还是传参让两个参数相等,但是是POST方式上传,这里可以用hackbar传参或者bp改包,flag就出来了。打开靶机发现一个搜索框,第一时间想到sql注入,查看源代码没发现什么东西,传参用bp抓包。传参数组绕过的简单原理如下。
字符串加密后md5为 0exxxx 的字符串
weixin_43460822的博客
10-23 743
字符串加密后md5为 0exxxx 的字符串 (x 必须是 10 进制数字) 列表 字符串 MD5 QNKCDZO 0e830400451993494058024219903391 240610708 0e462097431906509019562988736854 aabg7XSs 0e087386482136013740957780965295 aabC9RqS 0e0410225181657...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值