CTF Web 入门：EZMD5 系列漏洞原理与绕过详解

EZMD5

文章配图

代码审计

include "flag.php";
highlight_file(__FILE__);

包含了 flag.php 文件并展示源代码。

if (isset($_GET['QC'])) {
    $qc = (string)$_GET['QC'];
    $hp = md5($qc);

要求 get 传参 QC 并且设置了一个变量保存这个 QC 的字符串格式，其后有设置一个变量$hp 为其的 md5 值。

if ($hp == $admin_hash) {
    echo "<br>Welcome, admin!<br>";
    echo $flag;
} else {
    echo "<br>Login failed.";
}

最后对比$admin_hash 和$hp 这两个变量且是松散比较（==）。若相等则返回 flag 的值。

这里观察到最开始的变量像是一个科学计数法的表示。而且当使用 == 比较两个字符串时，如果它们看起来像科学计数法表示的数字，PHP 会尝试将它们转换为数字进行比较。

'0e830400451993494058024219903391'会被当作科学计数法：0 × 10^830400451993494058024219903391，其计算结果为 0。
同理，如果 md5($qc)的结果也是一个以 0e 开头、后面全是数字的字符串，它也会被转换为数字 0。

所以只需要找到一个 MD5 值也为 0e 开头且后面是数字的字符串。

有以下几个：QNKCDZO, 240610708, aabg7XSs, s878926199a。

最终 payload：?QC=QNKCDZO

文章配图

拓展

若这里是强比较 (===) 的话，那就不可以了。

强比较规则：

值是否相等
类型是否相同
对于字符串，会逐字符精确比较

此时就只能进行 md5 碰撞攻击，也就是知道了 md5 值求原来的那个字符串，基本上就只能编写脚本了。

PHP 中的逻辑运算符及其优先级，短路求值

逻辑与 (AND)

运算符：&&或 and
说明：当两个操作数都为 true时，结果才为 true。

逻辑或 (OR)

运算符：||或 or
说明：当至少一个操作数为 true时，结果就为 true。

逻辑非 (NOT)

运算符：!
说明：对布尔值取反。

逻辑异或 (XOR)

运算符：xor
说明：当两个操作数一真一假时，结果才为 true（两者相同则 false）。

优先级与短路求值

优先级（从高到低）：! > && > || > and > xor > or
短路求值：
- 对于 &&：如果第一个操作数为 false，则不会计算第二个操作数（因为结果已确定）。
- 对于 ||：如果第一个操作数为 true，则不会计算第二个操作数。

PHP 中的位运算符

位与 `&`(Bitwise AND)

作用：对两个数字的每一个二进制位进行 AND 操作。
规则：两位都为 1 时，结果位才为 1。

位或 `|`(Bitwise OR)

作用：对两个数字的每一个二进制位进行 OR 操作。
规则：两位中至少一个为 1 时，结果位就为 1。

特殊场景：在布尔值上使用 `&`和 `|`

当操作数是布尔值（或可转换为布尔的值）时，&和 |会先将它们转换为整数（true-> 1, false-> 0），进行位运算，再将结果转换回布尔值。这有时会导致与 &&、||不同的结果。

EZMD5_1

文章配图

代码审计

if (isset($_GET['a']) && isset($_GET['b'])) {
    $a = $_GET['a'];
    $b = $_GET['b'];

判断是否 get 传入了 a 和 b 并定义变量保存。

if ($a != $b && md5($a) == md5($b)) {
    echo "<br>Welcome, admin!<br>";
    echo $flag;

这里要求$a不能等于$b，但是它俩的 md5 值弱相等 (==)。这里很容易想到数组绕过，任何数组的 md5 值都为 Null。

Payload

?a[]=1&b[]=2

这里的数组定义是 url 上的定义方法，这方面内容也在我那个博客里提及（这个在第二题）

EZMD5_2

文章配图

代码审计

~~其他的代码沿用前几个题的，就不多解释了~~

if (substr($md5_a, 0, 2) === '0e' || substr($md5_b, 0, 2) === '0e') {
    echo "<br>0e not allowed!";

这是比上一个题多的要求，意思是不能俩变量的值都不能以'0e'开头。但是对数组绕过没有影响。

Payload

?a[]=1&b[]=2

文章配图

拓展

URL 上数组的定义方法

1. 基本语法：方括号 `[]`

这是最常用的方法，在参数名后添加 []来告诉 PHP 这是一个数组。

// URL: page.php?colors[]=red&colors[]=green&colors[]=blue
// PHP 中获取： $colors = $_GET['colors'];
// 数组： ['red', 'green', 'blue']
// 或者明确指定索引（数字）：
// URL: page.php?colors[0]=red&colors[1]=green&colors[2]=blue

2. 关联数组（指定键名）

可以在方括号内指定字符串键名来创建关联数组。

// URL: page.php?user[name]=John&user[age]=25&user[city]=Beijing
// PHP 中获取： $user = $_GET['user'];
// 数组： ['name' => 'John', 'age' => '25', 'city' => 'Beijing']
// 多维数组：
// URL: page.php?product[0][name]=Phone&product[0][price]=999&product[1][name]=Case
$product = $_GET['product'];
// 二维数组： [0 => ['name'=>'Phone','price'=>'999'], 1 => ['name'=>'Case']]

3. URL 编码注意事项

当键名或值包含特殊字符时，需要 URL 编码。

// 原始：page.php?filters[sort by]=date&filters[price range]=100-200
// 实际 URL 需要编码：
// page.php?filters[sort%20by]=date&filters[price%20range]=100-200
// PHP 会自动解码： $filters = $_GET['filters'];
// ['sort by' => 'date', 'price range' => '100-200']

以下是必须编码的字符

文章配图

EZMD5_3

文章配图

依旧类似前面的，不过==变成了===。还是不影响数组绕过 (第一种方法)。

第二种方法：需要找两个不同的字符串但 MD5 值却相等的。

文章配图

EZMD5_4

文章配图

代码审计

if (isset($_GET['QC'])) {
    $qc = (string)$_GET['QC'];
    if(substr(md5($qc),-6,6) ==='d54e23')

核心要求是截取$qc 的值从 -6 位置，截取 6 位，必须是 d54e23。只能暴力破解了，编写脚本求出 payload。

EZMD5_5

文章配图

这道题与前面的异曲同工，只是由 MD5 变成了 sha1。继续数组绕过即可。

payload ?a[]= &b[]=2

文章配图

EZMD5_6

文章配图

依旧与前面的题一样，依旧数组绕过。

payload ?a[]= &b[]=2

文章配图

EZMD5

文章配图

代码审计

include "flag.php";
highlight_file(__FILE__);

包含了 flag.php 文件并展示源代码。

if (isset($_GET['QC'])) {
    $qc = (string)$_GET['QC'];
    $hp = md5($qc);

要求 get 传参 QC 并且设置了一个变量保存这个 QC 的字符串格式，其后有设置一个变量$hp 为其的 md5 值。

if ($hp == $admin_hash) {
    echo "<br>Welcome, admin!<br>";
    echo $flag;
} else {
    echo "<br>Login failed.";
}

最后对比$admin_hash 和$hp 这两个变量且是松散比较（==）。若相等则返回 flag 的值。

这里观察到最开始的变量像是一个科学计数法的表示。而且当使用 == 比较两个字符串时，如果它们看起来像科学计数法表示的数字，PHP 会尝试将它们转换为数字进行比较。

'0e830400451993494058024219903391'会被当作科学计数法：0 × 10^830400451993494058024219903391，其计算结果为 0。
同理，如果 md5($qc)的结果也是一个以 0e 开头、后面全是数字的字符串，它也会被转换为数字 0。

所以只需要找到一个 MD5 值也为 0e 开头且后面是数字的字符串。

有以下几个：QNKCDZO, 240610708, aabg7XSs, s878926199a。

最终 payload：?QC=QNKCDZO

文章配图

拓展

若这里是强比较 (===) 的话，那就不可以了。

强比较规则：

值是否相等
类型是否相同
对于字符串，会逐字符精确比较

此时就只能进行 md5 碰撞攻击，也就是知道了 md5 值求原来的那个字符串，基本上就只能编写脚本了。

PHP 中的逻辑运算符及其优先级，短路求值

逻辑与 (AND)

运算符：&&或 and
说明：当两个操作数都为 true时，结果才为 true。

逻辑或 (OR)

运算符：||或 or
说明：当至少一个操作数为 true时，结果就为 true。

逻辑非 (NOT)

运算符：!
说明：对布尔值取反。

逻辑异或 (XOR)

运算符：xor
说明：当两个操作数一真一假时，结果才为 true（两者相同则 false）。

优先级与短路求值

优先级（从高到低）：! > && > || > and > xor > or
短路求值：
- 对于 &&：如果第一个操作数为 false，则不会计算第二个操作数（因为结果已确定）。
- 对于 ||：如果第一个操作数为 true，则不会计算第二个操作数。

PHP 中的位运算符

位与 `&`(Bitwise AND)

作用：对两个数字的每一个二进制位进行 AND 操作。
规则：两位都为 1 时，结果位才为 1。

位或 `|`(Bitwise OR)

作用：对两个数字的每一个二进制位进行 OR 操作。
规则：两位中至少一个为 1 时，结果位就为 1。

特殊场景：在布尔值上使用 `&`和 `|`

EZMD5_1

文章配图

代码审计

if (isset($_GET['a']) && isset($_GET['b'])) {
    $a = $_GET['a'];
    $b = $_GET['b'];

判断是否 get 传入了 a 和 b 并定义变量保存。

if ($a != $b && md5($a) == md5($b)) {
    echo "<br>Welcome, admin!<br>";
    echo $flag;

这里要求$a不能等于$b，但是它俩的 md5 值弱相等 (==)。这里很容易想到数组绕过，任何数组的 md5 值都为 Null。

Payload

?a[]=1&b[]=2

这里的数组定义是 url 上的定义方法，这方面内容也在我那个博客里提及（这个在第二题）

EZMD5_2

文章配图

代码审计

~~其他的代码沿用前几个题的，就不多解释了~~

if (substr($md5_a, 0, 2) === '0e' || substr($md5_b, 0, 2) === '0e') {
    echo "<br>0e not allowed!";

这是比上一个题多的要求，意思是不能俩变量的值都不能以'0e'开头。但是对数组绕过没有影响。

Payload

?a[]=1&b[]=2

文章配图

拓展

URL 上数组的定义方法

1. 基本语法：方括号 `[]`

这是最常用的方法，在参数名后添加 []来告诉 PHP 这是一个数组。

// URL: page.php?colors[]=red&colors[]=green&colors[]=blue
// PHP 中获取： $colors = $_GET['colors'];
// 数组： ['red', 'green', 'blue']
// 或者明确指定索引（数字）：
// URL: page.php?colors[0]=red&colors[1]=green&colors[2]=blue

2. 关联数组（指定键名）

可以在方括号内指定字符串键名来创建关联数组。

// URL: page.php?user[name]=John&user[age]=25&user[city]=Beijing
// PHP 中获取： $user = $_GET['user'];
// 数组： ['name' => 'John', 'age' => '25', 'city' => 'Beijing']
// 多维数组：
// URL: page.php?product[0][name]=Phone&product[0][price]=999&product[1][name]=Case
$product = $_GET['product'];
// 二维数组： [0 => ['name'=>'Phone','price'=>'999'], 1 => ['name'=>'Case']]

3. URL 编码注意事项

当键名或值包含特殊字符时，需要 URL 编码。

// 原始：page.php?filters[sort by]=date&filters[price range]=100-200
// 实际 URL 需要编码：
// page.php?filters[sort%20by]=date&filters[price%20range]=100-200
// PHP 会自动解码： $filters = $_GET['filters'];
// ['sort by' => 'date', 'price range' => '100-200']

以下是必须编码的字符

文章配图

EZMD5_3

文章配图

依旧类似前面的，不过==变成了===。还是不影响数组绕过 (第一种方法)。

第二种方法：需要找两个不同的字符串但 MD5 值却相等的。

文章配图

EZMD5_4

文章配图

代码审计

if (isset($_GET['QC'])) {
    $qc = (string)$_GET['QC'];
    if(substr(md5($qc),-6,6) ==='d54e23')

核心要求是截取$qc 的值从 -6 位置，截取 6 位，必须是 d54e23。只能暴力破解了，编写脚本求出 payload。

EZMD5_5

文章配图

这道题与前面的异曲同工，只是由 MD5 变成了 sha1。继续数组绕过即可。

payload ?a[]= &b[]=2

文章配图

EZMD5_6

文章配图

依旧与前面的题一样，依旧数组绕过。

payload ?a[]= &b[]=2

文章配图

CTF Web 入门：EZMD5 系列漏洞原理与绕过详解

EZMD5

代码审计

拓展

PHP 中的逻辑运算符及其优先级，短路求值

逻辑与 (AND)

逻辑或 (OR)

逻辑非 (NOT)

逻辑异或 (XOR)

优先级与短路求值

PHP 中的位运算符

位与 &(Bitwise AND)

位或 |(Bitwise OR)

特殊场景：在布尔值上使用 &和 |

EZMD5_1

代码审计

Payload

EZMD5_2

代码审计

Payload

拓展

URL 上数组的定义方法

1. 基本语法：方括号 []

2. 关联数组（指定键名）

3. URL 编码注意事项

EZMD5_3

EZMD5_4

代码审计

EZMD5_5

EZMD5_6

CTF Web 入门：EZMD5 系列漏洞原理与绕过详解

EZMD5

代码审计

拓展

PHP 中的逻辑运算符及其优先级，短路求值

逻辑与 (AND)

逻辑或 (OR)

逻辑非 (NOT)

逻辑异或 (XOR)

优先级与短路求值

PHP 中的位运算符

位与 &(Bitwise AND)

位或 |(Bitwise OR)

特殊场景：在布尔值上使用 &和 |

EZMD5_1

代码审计

Payload

EZMD5_2

代码审计

Payload

拓展

URL 上数组的定义方法

1. 基本语法：方括号 []

2. 关联数组（指定键名）

3. URL 编码注意事项

EZMD5_3

EZMD5_4

代码审计

EZMD5_5

EZMD5_6

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具

位与 `&`(Bitwise AND)

位或 `|`(Bitwise OR)

特殊场景：在布尔值上使用 `&`和 `|`

1. 基本语法：方括号 `[]`

位与 `&`(Bitwise AND)

位或 `|`(Bitwise OR)

特殊场景：在布尔值上使用 `&`和 `|`

1. 基本语法：方括号 `[]`