【BUUCTF】Easy MD5

【BUUCTF】Easy MD5 （SQL注入、PHP代码审计）

题目来源

收录于：BUUCTF　　BJDCTF2020

题目描述

抓包得到提示

select * from 'admin' where password=md5($pass,true)

题解

第一关

这是一个SQL注入点，但是有md5()过滤。这里有知识点：mysql会把十六进制数据解析为字符串。

给$pass赋值ffifdyop，md5($pass)的值为276f722736c95d99e921722cf9ed621c1，其对应的字符串为'or'6<乱码>'，拼合后的语句

select * from 'admin' where password='' or '6xxxxx'

PHP会删除乱码进行传参，即可成功绕过

第二关

使用==若比较，在进行比较的时候，会先将两边的变量类型转化成相同的，再进行比较。

0e在比较的时候会将其视作为科学计数法，所以无论0e后面是什么，0的多少次方还是0。

这是几个md5值以0e开头的字符串

QNKCDZO
s878926199a
s155964671a 
s214587387a
s1091221200a
s1885207154a
s1502113478a
s1836677006a
s1184209335a
s1665632922a

任意选取两个赋值给$a和$b即可。

第三关

payload:

param1[]=1&param2[]=2

在PHP中，对于md5()，如果传入的两个参数不是字符串，而是数组，md5()函数无法解出其数值，而且不会报错，就会得到强比较的值相等

总结

对于查询语句

select * from 'admin' where password=md5($pass,true)

给$pass赋值为：ffifdyop

对于判断

if($a != $b && md5($a) == md5($b))

令$a和$b分别随意取以下的两个值即可

QNKCDZO
s878926199a
s155964671a 
s214587387a
s1091221200a
s1885207154a
s1502113478a
s1836677006a
s1184209335a
s1665632922a

对于判断

if($a !== $b && md5($a) === md5($b))

使用数组绕过，payload：

a[]=1&b[]=2