CTF---Web入门第九题 FALSE
FALSE分值:10
- 来源: iFurySt
- 难度:易
- 参与人数:4567人
- Get Flag:2144人
- 答题人数:2157人
- 解题通过率:99%
hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o
格式:CTF{}
解题链接: http://ctf5.shiyanbar.com/web/false.php
原题链接:http://www.shiyanbar.com/ctf/1787
【解题报告】
这是我入门Web开始写的第九道题,打开解题链接,这道题是道SHA!先做个简介:
Hash函数
SHA由NIST和NSA在1993年提出,修订版于1995年发布,称作SHA-1,它作为美国DSA数字签名方案的标准
FIPS 180-1 1995,Internet RFC3174,注意,算法是SHA,标准称为SHS,产生160-bit hash值
现在作为建议的hash算法,基于MD4的设计
题目意思是要传进两个值,这两个值不相等,然后它们的hash值又要相等,这是一个很矛盾的事情,hash碰撞是不可能的,不存在两个不同的值,然后它们的hash值还会相等,这该怎么办呢?这道题用到的是SHA函数的一个漏洞!
SHA函数默认传值的类型为字符串型,我们可以让它不传字符串型,传递其它类型,比如我们可以传入一个数组,这样它就会返回一个false,两个false会相等,通过这个方式可以绕过条件,样式如下:
http://ctf5.shiyanbar.com/web/false.php?name[]=a&password[]=b
然后我们回车去访问这个网站试试
直接就得到一个Flag,这就是本题的Key
作 者:Angel_Kitty
出 处:https://www.cnblogs.com/ECJTUACM-873284962/
关于作者:阿里云ACE,目前主要研究方向是Web安全漏洞以及反序列化。如有问题或建议,请多多赐教!
版权声明:本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文链接。
特此声明:所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误,共同进步。或者直接私信我
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力!
欢迎大家关注我的微信公众号IT老实人(IThonest),如果您觉得文章对您有很大的帮助,您可以考虑赏博主一杯咖啡以资鼓励,您的肯定将是我最大的动力。thx.
我的公众号是IT老实人(IThonest),一个有故事的公众号,欢迎大家来这里讨论,共同进步,不断学习才能不断进步。扫下面的二维码或者收藏下面的二维码关注吧(长按下面的二维码图片、并选择识别图中的二维码),个人QQ和微信的二维码也已给出,扫描下面👇的二维码一起来讨论吧!!!
欢迎大家关注我的Github,一些文章的备份和平常做的一些项目会存放在这里。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· AI与.NET技术实操系列:向量存储与相似性搜索在 .NET 中的实现
· 周边上新:园子的第一款马克杯温暖上架
· Open-Sora 2.0 重磅开源!
· 分享 3 个 .NET 开源的文件压缩处理库,助力快速实现文件压缩解压功能!
· Ollama——大语言模型本地部署的极速利器
· [AI/GPT/综述] AI Agent的设计模式综述