PHP中MD5函数漏洞
题目描述
一个网页,不妨设URL为http://haha.com,打开以后是这样的php
if (isset($_GET['a']) and isset($_GET['b'])) {
if ($_GET['a'] != $_GET['b']) {
if (md5($_GET['a']) === md5($_GET['b'])) {
echo ('Flag: '.$flag);
}else {
echo 'Wrong.';
}
}
}
根据这段代码,能够看出;程序员
- 使用GET方式提交参数,能够直接在URL里面改,不用写POST请求
- GET里面必须包含a,b两个参数
- a!=b,这里的不等是严格的value上的不等,而不是
!==引用上的不等 - a和b的md5必须相等
- 这段代码是不管如何都要返回的,若是答案错误,先返回wrong,再返回这段代码。
若是提交http://haha.com?a=3&b=2,返回wrong
若是提交http://haha.com?a=3&b=3,跟没带参数同样,由于没有进入到那层判断中去
问,怎么提交才能获得flag数组
预备知识
PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每个以”0E”开头的哈希值都解释为0,因此若是两个不一样的密码通过哈希之后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
常见的payload有安全
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
sha1(str)
sha1('aaroZmOk')
sha1('aaK1STfY')
sha1('aaO8zKZF')
sha1('aa3OFF9m')
同时MD5不能处理数组,如有如下判断则可用数组绕过网络
if(@md5($_GET['a']) == @md5($_GET['b']))
{
echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2
题解
URL能够传递数组参数,形式是http://haha.com?x[]=1&x[]=2&x[]=3,这样就提交了一个x[]={1,2,3}的数组。
在PHP中,MD5是不能处理数组的,md5(数组)会返回null,因此md5(a[])==null,md5(b[])==null,md5(a[])=md5(b[])=null,这样就获得答案了。函数
http://butian.secbox.cn/flag.php?a[]=1&b[]=2
返回结果.net
Flag: flag{1bc29b36f623ba82aaf6724fd3b16718}
if (isset($_GET['a']) and isset($_GET['b'])) {
if ($_GET['a'] != $_GET['b']) {
if (md5($_GET['a']) === md5($_GET['b'])) {
echo ('Flag: '.$flag);
}else {
echo 'Wrong.';
}
}
}
我说
一开始我还觉得要找到两个md5相同的字符串,百度一番未曾找到。只找到一个fastcoll.exe文件碰撞器,内容都是二进制的,不是字符串。code
直接搜索PHP、MD5,就发现原来这题跟密码学半毛钱关系没有,只是简简单单的PHP语言漏洞。
因而余有叹焉,PHP是地球上最垃圾的语言,一方面养活着一大群抱残守缺的程序员,另外一方面也养活着一批PHP安全方面的专家。程序员这不是自娱自乐吗?用Java哪来的这么多奇葩问题,强类型的安全性天然而然,一切都是肯定的,弱类型带来了太多的可能性。脚本写起来虽然方便,却最好只在本地使用而不要放在易受攻击的地方。blog
参考资料
- 1. PHP 函数漏洞总结
- 2. php中ereg函数的截断漏洞
- 3. CTF web题总结--php函数漏洞
- 4. php函数漏洞原理解析
- 5. highlight_file函数漏洞
- 6. CTF-Web6(涉及PHP中的MD5函数)
- 7. php序列化函数漏洞----unserialize()函数
- 8. php strcmp漏洞
- 9. JAVA中XXE漏洞线索函数
- 10. Memcached‘process_bin_delete’函数安全漏洞
- 更多相关文章...
- • PHP md5() 函数 - PHP参考手册
- • Java 中操作 R - R 语言教程
- • PHP开发工具
- • Flink 数据传输及反压详解
-
每一个你不满意的现在,都有一个你没有努力的曾经。