[BJDCTF2020]Easy MD5 1

题目环境：

image.png

尝试了SQL注入、命令执行等都不行

点击提交并burp进行抓包

image.png

Repeater进行重放

image.png

这里看到了内置的SQL语句 select * from 'admin' where password=md5($pass,true)

发现传进去的值会进行md5加密

这里看了大佬们的解释

ffifdyop绕过，绕过原理是： ffifdyop 这个字符串被 md5 哈希了之后会变成 276f722736c95d99e921722cf9ed621c，这个字符串前几位刚好是’ or ‘6 而 Mysql 刚好又会把 hex 转成 ascii 解释，因此拼接之后的形式是select * from ‘admin’ where password=’’ or ‘6xxxxx’，等价于 or 一个永真式，因此相当于万能密码，可以绕过md5()函数。

所以说看到这段内置SQL语句，直接使用ffifdyop绕过即可，这就是它的原理

使用ffifdyop进行绕过

image.png

image.png

F12查看源代码

image.png

 <!--  
$a = $GET['a'];  
$b = $_GET['b'];   
 if($a != $b && md5($a) == md5($b))
{  
// wow, glzjin wants a girl friend.  
--> 

MD5弱比较通过数组绕过原理：

MD5数组绕过原理是利用了PHP中数组作为参数传递时的hash计算漏洞。在PHP中，数组作为参数传递时会被hash计算，但是MD5函数只能接受字符串类型的参数，因此当数组作为参数传递时，会提示MD5()函数需要一个string类型的参数。为了绕过这个限制，可以通过将数组转化为字符串类型后再进行MD5运算，从而实现绕过绕过限制的目的。

GET方式进行传参： a[]=1&b[]=2

image.png

回车：

image.png

<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
echo $flag;
}

通过POST方式进行传参 弱比较通过数组绕过第一个 MD5强比较仍然可以使用数组进行绕过

POST进行传参： param1[]=1&param2[]=2

image.png

得到flag： flag{107355e0-5214-4977-b55f-650e264f2074}