EZMD5
PHP算法
CTF Web 入门:EZMD5 系列漏洞原理与绕过详解
详细解析了 CTF Web 竞赛中 EZMD5 系列的常见漏洞类型。主要涵盖 PHP 松散比较导致的 MD5 哈希碰撞(如 0e 开头科学计数法)、数组绕过技巧(md5 返回 null)、以及强比较下的哈希碰撞问题。同时介绍了 URL 参数数组定义方法及 PHP 逻辑与位运算符的区别,提供了相应的 Payload 示例与解决方案。
详细解析了 CTF Web 竞赛中 EZMD5 系列的常见漏洞类型。主要涵盖 PHP 松散比较导致的 MD5 哈希碰撞(如 0e 开头科学计数法)、数组绕过技巧(md5 返回 null)、以及强比较下的哈希碰撞问题。同时介绍了 URL 参数数组定义方法及 PHP 逻辑与位运算符的区别,提供了相应的 Payload 示例与解决方案。
include "flag.php";
highlight_file(__FILE__);
包含了 flag.php 文件并展示源代码。
if (isset($_GET['QC'])) {
$qc = (string)$_GET['QC'];
$hp = md5($qc);
要求 get 传参 QC 并且设置了一个变量保存这个 QC 的字符串格式,其后有设置一个变量$hp 为其的 md5 值。
if ($hp == $admin_hash) {
echo "<br>Welcome, admin!<br>";
echo $flag;
} else {
echo "<br>Login failed.";
}
最后对比$admin_hash 和$hp 这两个变量且是松散比较(==)。若相等则返回 flag 的值。
这里观察到最开始的变量像是一个科学计数法的表示。而且当使用
==比较两个字符串时,如果它们看起来像科学计数法表示的数字,PHP 会尝试将它们转换为数字进行比较。
所以只需要找到一个 MD5 值也为 0e 开头且后面是数字的字符串。
有以下几个:QNKCDZO, 240610708, aabg7XSs, s878926199a。
最终 payload:?QC=QNKCDZO
若这里是强比较 (===) 的话,那就不可以了。
强比较规则:
此时就只能进行 md5 碰撞攻击,也就是知道了 md5 值求原来的那个字符串,基本上就只能编写脚本了。
&&或 and||或 or!xor! > && > || > and > xor > or&&:如果第一个操作数为 false,则不会计算第二个操作数(因为结果已确定)。||:如果第一个操作数为 true,则不会计算第二个操作数。&(Bitwise AND)|(Bitwise OR)&和 |当操作数是布尔值(或可转换为布尔的值)时,&和 |会先将它们转换为整数(true-> 1, false-> 0),进行位运算,再将结果转换回布尔值。这有时会导致与 &&、||不同的结果。
if (isset($_GET['a']) && isset($_GET['b'])) {
$a = $_GET['a'];
$b = $_GET['b'];
判断是否 get 传入了 a 和 b 并定义变量保存。
if ($a != $b && md5($a) == md5($b)) {
echo "<br>Welcome, admin!<br>";
echo $flag;
这里要求$a不能等于$b,但是它俩的 md5 值弱相等 (==)。这里很容易想到数组绕过,任何数组的 md5 值都为 Null。
?a[]=1&b[]=2
这里的数组定义是 url 上的定义方法,这方面内容也在我那个博客里提及(这个在第二题)
其他的代码沿用前几个题的,就不多解释了
if (substr($md5_a, 0, 2) === '0e' || substr($md5_b, 0, 2) === '0e') {
echo "<br>0e not allowed!";
这是比上一个题多的要求,意思是不能俩变量的值都不能以'0e'开头。但是对数组绕过没有影响。
?a[]=1&b[]=2
[]这是最常用的方法,在参数名后添加 []来告诉 PHP 这是一个数组。
// URL: page.php?colors[]=red&colors[]=green&colors[]=blue
// PHP 中获取: $colors = $_GET['colors'];
// 数组: ['red', 'green', 'blue']
// 或者明确指定索引(数字):
// URL: page.php?colors[0]=red&colors[1]=green&colors[2]=blue
可以在方括号内指定字符串键名来创建关联数组。
// URL: page.php?user[name]=John&user[age]=25&user[city]=Beijing
// PHP 中获取: $user = $_GET['user'];
// 数组: ['name' => 'John', 'age' => '25', 'city' => 'Beijing']
// 多维数组:
// URL: page.php?product[0][name]=Phone&product[0][price]=999&product[1][name]=Case
$product = $_GET['product'];
// 二维数组: [0 => ['name'=>'Phone','price'=>'999'], 1 => ['name'=>'Case']]
当键名或值包含特殊字符时,需要 URL 编码。
// 原始:page.php?filters[sort by]=date&filters[price range]=100-200
// 实际 URL 需要编码:
// page.php?filters[sort%20by]=date&filters[price%20range]=100-200
// PHP 会自动解码: $filters = $_GET['filters'];
// ['sort by' => 'date', 'price range' => '100-200']
以下是必须编码的字符
依旧类似前面的,不过==变成了===。还是不影响数组绕过 (第一种方法)。
第二种方法:需要找两个不同的字符串但 MD5 值却相等的。
if (isset($_GET['QC'])) {
$qc = (string)$_GET['QC'];
if(substr(md5($qc),-6,6) ==='d54e23')
核心要求是截取$qc 的值从 -6 位置,截取 6 位,必须是 d54e23。只能暴力破解了,编写脚本求出 payload。
这道题与前面的异曲同工,只是由 MD5 变成了 sha1。继续数组绕过即可。
payload ?a[]= &b[]=2
依旧与前面的题一样,依旧数组绕过。
payload ?a[]= &b[]=2
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online