

keac's Bolg.

CTF中常见php-MD5()函数漏洞

keac's Bolg.

CTF中常见php-MD5()函数漏洞

字数统计: 861阅读时长: 4 min

 2020/02/22   Share

• 
• 
• 
• 
• 

数字与字符串之间的比较

var_dump( 0 == "a" );
var_dump( "0" == "a" );

第一个返回的是 true ，第二个返回的是 false
因为php把字母开头的转化为整型时，转化为0， 前面数字后面字母的话就只取到第一个字母出现的位置之前（如intval(‘123abd45gf’)结果为123）

MD5函数漏洞

$_GET['name'] != $_GET['password']
MD5($_GET['name']) == MD5($_GET['password'])

要求满足上述条件则
那么要求name和password数值不同但是MD5相同，在这里可以利用绕过。
PHP在处理哈希字符串时，它把每一个以“0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以“0E”开头的，那么PHP将会认为他们相同，都是0。

纯数字类：

240610708 0e462097431906509019562988736854
314282422 0e990995504821699494520356953734
571579406 0e972379832854295224118025748221
903251147 0e174510503823932942361353209384
1110242161 0e435874558488625891324861198103
1320830526 0e912095958985483346995414060832
1586264293 0e622743671155995737639662718498
2302756269 0e250566888497473798724426794462
2427435592 0e067696952328669732475498472343
2653531602 0e877487522341544758028810610885
3293867441 0e471001201303602543921144570260
3295421201 0e703870333002232681239618856220
3465814713 0e258631645650999664521705537122
3524854780 0e507419062489887827087815735195
3908336290 0e807624498959190415881248245271
4011627063 0e485805687034439905938362701775
4775635065 0e998212089946640967599450361168
4790555361 0e643442214660994430134492464512
5432453531 0e512318699085881630861890526097
5579679820 0e877622011730221803461740184915
5585393579 0e664357355382305805992765337023
6376552501 0e165886706997482187870215578015
7124129977 0e500007361044747804682122060876
7197546197 0e915188576072469101457315675502
7656486157 0e451569119711843337267091732412

大写字母类

QLTHNDT 0e405967825401955372549139051580
QNKCDZO 0e830400451993494058024219903391
EEIZDOI 0e782601363539291779881938479162
TUFEPMC 0e839407194569345277863905212547
UTIPEZQ 0e382098788231234954670291303879
UYXFLOI 0e552539585246568817348686838809
IHKFRNS 0e256160682445802696926137988570
PJNPDWY 0e291529052894702774557631701704
ABJIHVY 0e755264355178451322893275696586
DQWRASX 0e742373665639232907775599582643
DYAXWCA 0e424759758842488633464374063001
GEGHBXL 0e248776895502908863709684713578
GGHMVOE 0e362766013028313274586933780773
GZECLQZ 0e537612333747236407713628225676
NWWKITQ 0e763082070976038347657360817689
NOOPCJF 0e818888003657176127862245791911
MAUXXQC 0e478478466848439040434801845361
MMHUWUV 0e701732711630150438129209816536

或者直接py脚本生成

# -*- coding: utf8 -*-
import hashlib
 
payload = "QWERTYUIOPASDFGHJKLZXCVBNM"
#payload = "qwertyuiopasdfghjklzxcvbnm"
#payload = "0123456789"
 
 
def calcMd5(s):
	MD5 = hashlib.md5(s).hexdigest()
	if MD5[0:2] == "0e" and MD5[2:32].isdigit():
		print s,MD5
 
def getStr(payload,s,slen):
	if len(s) == slen:
		#Custom string
		calcMd5(s)
		return s	
	for j in xrange(len(payload)):
		sl= s+payload[j]
		getStr(payload,sl,slen)
 
if __name__ == '__main__':
	getStr(payload,'',7)

sha1加密后以0E开头

sha1('aaroZmOk')
sha1('aaK1STfY')
sha1('aaO8zKZF')
sha1('aa3OFF9m')

GET传入a=QNKCDZO&b=240610708就能绕过了

php特性

if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
        die("success!");
    }

PHP中md5的函数特性

md5([1,2,3]) == md5([4,5,6]) == NULL

[1] !== [2] && md5([1]) === md5([2])

所以GET传入a[]=1&b[]=2就能够绕过了。

MD5碰撞

if((string)$_POST['param1']!==(string)$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
        die("success!);
}

要求构造param1和param2不同，但是MD5相同，也就是说要求传入两个MD5相同的不同字符串。

Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

因为md5算法是一种摘要算法，也就是说它会把输入的数据压缩，那么就有可能存在两个不同的字符串经过md5加密后，会有两个MD5值相同。
这里用到了一个工具fastcoll_v1.0.0.5
先创建1.txt 和 2.txt
然后用fastcoll_v1.0.0.5 -i 1.txt 2.txt -o 3.txt 4.txt这条命令就可产生两个md5值相同的文件了。
上传用url编码。也就将文件以二进制的方式读入，然后编码成url编码。

生成工具：https://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

源码：https://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5-1_source.zip

注意一点，post时一定要urlencode！！！

原文作者：keacwu

原文链接：http://www.loongten.com/2020/02/22/ctf-php-md5/

发表日期：February 22nd 2020, 5:38:51 pm

更新日期：February 22nd 2020, 6:10:30 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  dns rebinding bypass
• Previous Post
  Ubuntu 安装 libmysqld-dev

Powered by Hexotheme Archer 浙ICP备15046327号-1

PV: :)

CATALOG

1. 1. 数字与字符串之间的比较
2. 2. MD5函数漏洞
3. 3. php特性
4. 4. MD5碰撞



• Archive
• Tag
• Cate

Total : 80

2022

• 06/04Java内存马
• 06/02将Java文件打包成Jar包
• 05/29Java JNDI
• 05/25Apache Commons Collections反序列化漏洞
• 05/25Java反序列化
• 05/24Java Unsafe
• 05/24Java动态代理
• 05/23Java ClassLoader
• 05/23Java 反射机制

2020

• 08/09idea-jetbrains-agent-latest
• 08/02wifipi
• 05/31Xss bypass waf 并且构造函数 使危害更大
• 04/06rabbitMq 安装学习
• 03/15redis 未授权访问漏洞
• 03/07php 反序列化漏洞
• 02/27SSRF服务器端请求伪造
• 02/26dns rebinding bypass
• 02/22CTF中常见php-MD5()函数漏洞
• 02/15Ubuntu 安装 libmysqld-dev
• 02/11Vmware 安装 Macos
• 01/14Supervisor 守护进程工具 使用详解
• 01/10CTFWP 简单密码
• 01/10CTFWP 音频隐写
• 01/10CTFWP 细心的大象
• 01/09CTFWP jarvisoj 神盾局的秘密
• 01/09CTFWP BugKu flag.php 题解
• 01/08BEEF 安装使用

2019

• 12/30渗透测试技巧-寻找 UEditor 版本
• 12/29XSS 绕过姿势
• 12/28SQL注入绕过 方式总结
• 12/28SQL注入学习
• 12/23XSS 学习
• 12/23CTF入门简单讲解
• 12/20一枚阿里巴巴主站XSS挖掘之旅
• 12/19Ubuntu19 更改ip - 内网渗透
• 12/08Centos7 安装 AWVS
• 12/06Burpsuite 激活简便使用
• 12/06渗透测试资源-一次性手机号
• 09/22浙江省第二届大学生网络与信息安全竞赛线上赛
• 09/22浙江省第二届大学生网络与信息安全竞赛线下赛
• 09/20数字经济”云安全共测大赛初赛 gameapp
• 09/17kali_install
• 09/10SpringBoot 整合 oss
• 09/07Raspbian3b+ 折腾 Buster
• 08/19ubuntu 搭建 vsftpd 遇到的坑
• 08/07centos7 安装配置 vsftpd
• 08/07idea 自动添加get set
• 08/02Centos7 安装 Docker-ce
• 08/01centos7 yum 方式安装mysql
• 08/01firewalld
• 08/01Centos7 安装 Nginx 实现 负载均衡和反向代理.
• 08/01Mysql 索引
• 07/31centos7 安装tomcat9
• 07/31mysql 优化
• 07/29SpringBoot 多环境配置
• 07/29SpringBoot 打包
• 07/29windows 安装tomcat
• 07/26SpringBoot-Mapper
• 07/26SpringBoot-jpa
• 07/26springboot学习 整合redis
• 07/25spirngboot学习 整合mybatis
• 07/24idea 自动导包
• 07/24学习SpringBoot之整合 Swagger2
• 07/24vue-cli 升级踩坑
• 07/07pentesterlab_xss
• 07/07pentesterlab
• 06/30hackbar
• 06/27zsh
• 06/25usbWindows10
• 06/23WMITools
• 06/22jwt SrpingBoot
• 06/18vs2019 安装到非系统盘
• 06/14vue-change
• 06/10cmder-here
• 06/09HTML字符实体
• 06/09bugku-你从哪里来
• 06/09bugku-前女友(SKCTF)
• 06/08树莓派分辨率调整
• 06/04ctf-web
• 05/04Hello world

Burpsuite 激活 工具使用 Html 实体字符 xss 主页劫持 浏览器 vmitools SrpingBoot 多环境 bugku ctf Bugku centos7 docker-ce mysql tomcat cmder cmder here regedit 右键清理 web wp 漏洞挖掘 XSS pentest UEditor 数字经济 云安全共测大赛初赛 gameapp hackbar 许可证 idea 自动导包 jwt JSON Web Token onetime phone sms 渗透测试资源 渗透测试学习 pentesterlab 渗透测试 beef Raspberry Pi SpringBoot mybatis swagger2 springboot 打包 maven redis ubuntu vsftpd usb windwos10 安装系统 内网渗透 vs 2019 vs2019 Visual Studio vue uni-app 小程序 vue-cli 升级 浙江省 信息安全 zsh wsl2 windows 网络与信息安全 nginx 优化 sql supervisor CTF waf



pentest pentest/xss pentest/xss/工具使用

