md5 collision(50)
------南京郵電大學ctf: http://chinalover.sinaapp.com/web19/
發現了一串代碼
<?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { echo "false!!!"; }} else{echo "please input a";} ?>
這個題目如果知道MD5碰撞的概念,同時知道了在PHP中的MD5中的0e的比較,這道題目就十分的簡單。
如果md的值是以0e開頭的,那么就與其他的0e開頭的Md5值是相等的。例子如下:
md5('s878926199a')=0e545993274517709034328855841020
md5('s155964671a')=0e342768416822451524974117254469
//可以看到兩者的md5值都是以0e開頭的,則
md5('s878926199a')==md5('s155964671a') //就是True
詳細解釋:
php關於==號是這樣處理的,如果一邊是整型,另一邊也需要是整型。
0e545993274517709034328855841020
這是一個整數,在php里是理解為0*10^4549...20的意思,那么其值是0
同樣
0e342768416822451524974117254469
這是一個整數,在php里是理解為0*10^34..69的意思,那么其值是0
舉一個反面的例子
1e1和1e2
1e1 == 1e2 這個結果是對是錯?
這里
1e1=1*10^1=10
1e2=1*10^2=100
所以1e1 == 1e2這是false,但是
100 == 1e2 這是true,為什么1e2先轉為整型,是100
注意,對於e是指冪次。而其他26字符並不具有此能力。
<?php var_dump(0 == "a"); // 0 == 0 -> true
var_dump("1" == "01"); // 1 == 1 -> true
var_dump("10" == "1e1"); // 10 == 10 -> true
var_dump(100 == "1e2"); // 100 == 100 -> true
switch ("a") { case 0:
echo "0"; break; case "a": // never reached because "a" is already matched with 0
echo "a"; break; } ?>
我們再來看代碼:
if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}";
發現 $a != 'QNKCDZO' 並且 $md51 == $md52
因為$md51 = md5('QNKCDZO')=0e830400451993494058024219903391
根據上文介紹,我們發現只要滿足md5加密后為 "0e***************"就可以
所以我們隨便拿一個 &md52=s878926199a 就可以得到flag
這道題的價值是讓我們重新學習了php的弱類型的比較
以下是總結:
php中有兩種比較的符號 == 與 ===
1 <?php 2 $a==$b ; 3 $a===$b ; 4 ?>
=== 在進行比較的時候,會先判斷兩種字符串的類型是否相等,再比較
== 在進行比較的時候,會先將字符串類型轉化成相同,再比較
如果比較一個數字和字符串或者比較涉及到數字內容的字符串,則字符串會被轉換成數值並且比較按照數值來進行
這里明確了說如果一個數值和字符串進行比較的時候,會將字符串轉換成數值
1 <?php 2 var_dump("admin"==0); //true 3 var_dump("1admin"==1); //true 4 var_dump("admin1"==1) //false 5 var_dump("admin1"==0) //true 6 var_dump("0e123456"=="0e4456789"); //true 7 ?> //上述代碼可自行測試
1 觀察上述代碼,"admin"==0 比較的時候,會將admin轉化成數值,強制轉化,由於admin是字符串,轉化的結果是0自然和0相等 2 "1admin"==1 比較的時候會將1admin轉化成數值,結果為1,而“admin1“==1 卻等於錯誤,也就是"admin1"被轉化成了0,為什么呢?? 3 "0e123456"=="0e456789"相互比較的時候,會將0e這類字符串識別為科學技術法的數字,0的無論多少次方都是零,所以相等
對於上述的問題我查了php手冊
當一個字符串欸當作一個數值來取值,其結果和類型如下:如果該字符串沒有包含'.','e','E'並且其數值值在整形的范圍之內
該字符串被當作int來取值,其他所有情況下都被作為float來取值,該字符串的開始部分決定了它的值,如果該字符串以合法的數值開始,則使用該數值,否則其值為0。
1 <?php 2 $test=1 + "10.5"; // $test=11.5(float) 3 $test=1+"-1.3e3"; //$test=-1299(float) 4 $test=1+"bob-1.3e3";//$test=1(int) 5 $test=1+"2admin";//$test=3(int) 6 $test=1+"admin2";//$test=1(int) 7 ?>
所以就解釋了"admin1"==1 =>False 的原因
0x03 實戰
md5繞過(Hash比較缺陷)
1 <?php 2 if (isset($_GET['Username']) && isset($_GET['password'])) { 3 $logined = true; 4 $Username = $_GET['Username']; 5 $password = $_GET['password']; 6 7 if (!ctype_alpha($Username)) {$logined = false;} 8 if (!is_numeric($password) ) {$logined = false;} 9 if (md5($Username) != md5($password)) {$logined = false;} 10 if ($logined){ 11 echo "successful"; 12 }else{ 13 echo "login failed!"; 14 } 15 } 16 ?>
題目大意是要輸入一個字符串和數字類型,並且他們的md5值相等,就可以成功執行下一步語句
介紹一批md5開頭是0e的字符串 上文提到過,0e在比較的時候會將其視作為科學計數法,所以無論0e后面是什么,0的多少次方還是0。md5('240610708') == md5('QNKCDZO')成功繞過!
QNKCDZO
0e830400451993494058024219903391 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s1885207154a 0e509367213418206700842008763514
json繞過
<?php
if (isset($_POST['message'])) { $message = json_decode($_POST['message']); $key ="*********"; if ($message->key == $key) { echo "flag"; } else { echo "fail"; } } else{ echo "~~~~"; } ?>
輸入一個json類型的字符串,json_decode函數解密成一個數組,判斷數組中key的值是否等於 $key的值,但是$key的值我們不知道,但是可以利用0=="admin"這種形式繞過
最終payload message={"key":0}
array_search is_array繞過
1 <?php 2 if(!is_array($_GET['test'])){exit();} 3 $test=$_GET['test']; 4 for($i=0;$i<count($test);$i++){ 5 if($test[$i]==="admin"){ 6 echo "error"; 7 exit(); 8 } 9 $test[$i]=intval($test[$i]); 10 } 11 if(array_search("admin",$test)===0){ 12 echo "flag"; 13 } 14 else{ 15 echo "false"; 16 } 17 ?>
上面是自己寫的一個,先判斷傳入的是不是數組,然后循環遍歷數組中的每個值,並且數組中的每個值不能和admin相等,並且將每個值轉化為int類型,再判斷傳入的數組是否有admin,有則返回flag
payload test[]=0可以繞過
下面是官方手冊對array_search的介紹
mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )
$needle,$haystack必需,$strict可選 函數判斷$haystack中的值是存在$needle,存在則返回該值的鍵值 第三個參數默認為false,如果設置為true則會進行嚴格過濾
1 <?php 2 $a=array(0,1); 3 var_dump(array_search("admin",$a)); // int(0) => 返回鍵值0 4 var_dump(array_seach("1admin",$a)); // int(1) ==>返回鍵值1 5 ?>
array_search函數 類似於== 也就是$a=="admin" 當然是$a=0 當然如果第三個參數為true則就不能繞過
strcmp漏洞繞過 php -v <5.3
1 <?php 2 $password="***************" 3 if(isset($_POST['password'])){ 4 5 if (strcmp($_POST['password'], $password) == 0) { 6 echo "Right!!!login success";n 7 exit(); 8 } else { 9 echo "Wrong password.."; 10 } 11 ?>
strcmp是比較兩個字符串,如果str1<str2 則返回<0 如果str1大於str2返回>0 如果兩者相等 返回0
我們是不知道$password的值的,題目要求strcmp判斷的接受的值和$password必需相等,strcmp傳入的期望類型是字符串類型,如果傳入的是個數組會怎么樣呢
我們傳入 password[]=xxx 可以繞過 是因為函數接受到了不符合的類型,將發生錯誤,但是還是判斷其相等
payload: password[]=xxx
switch繞過
1 <?php 2 $a="4admin"; 3 switch ($a) { 4 case 1: 5 echo "fail1"; 6 break; 7 case 2: 8 echo "fail2"; 9 break; 10 case 3: 11 echo "fail3"; 12 break; 13 case 4: 14 echo "sucess"; //結果輸出success; 15 break; 16 default: 17 echo "failall"; 18 break; 19 } 20 ?>
這種原理和前面的類似,就不詳細解釋了
下面是松散圖的比較,希望對大家有用
