题目环境:
尝试了SQL注入、命令执行等都不行
点击提交并burp进行抓包
Repeater进行重放
这里看到了内置的SQL语句select * from 'admin' where password=md5($pass,true)
发现传进去的值会进行md5加密
这里看了大佬们的解释
ffifdyop绕过,绕过原理是:
ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c,这个字符串前几位刚好是’ or ‘6
而 Mysql 刚好又会把 hex 转成 ascii 解释,因此拼接之后的形式是select * from ‘admin’ where password=’’ or ‘6xxxxx’,等价于 or 一个永真式,因此相当于万能密码,可以绕过md5()函数。
所以说看到这段内置SQL语句,直接使用ffifdyop绕过即可,这就是它的原理
使用ffifdyop进行绕过
F12查看源代码
<!--
$a = $GET['a'];
$b = $_GET['b'];
if($a != $b && md5($a) == md5($b))
{
// wow, glzjin wants a girl friend.
-->
MD5弱比较通过数组绕过原理:
MD5数组绕过原理是利用了PHP中数组作为参数传递时的hash计算漏洞。在PHP中,数组作为参数传递时会被hash计算,但是MD5函数只能接受字符串类型的参数,因此当数组作为参数传递时,会提示MD5()函数需要一个string类型的参数。为了绕过这个限制,可以通过将数组转化为字符串类型后再进行MD5运算,从而实现绕过绕过限制的目的。
GET方式进行传参:a[]=1&b[]=2
回车:
<?php
error_reporting(0);
include "flag.php";
highlight_file(__FILE__);
if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
echo $flag;
}
通过POST方式进行传参
弱比较通过数组绕过第一个
MD5强比较仍然可以使用数组进行绕过
POST进行传参:param1[]=1¶m2[]=2
得到flag:flag{107355e0-5214-4977-b55f-650e264f2074}