bugku md5加密相等绕过

最新推荐文章于 2025-06-12 11:36:29 发布
最新推荐文章于 2025-06-12 11:36:29 发布
阅读量1.8k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: bugku ctf 文章标签: md5 代码审计
原文链接:https://blog.youkuaiyun.com/qq_42777804/article/details/98059848
本文详细解析了如何利用MD5加密的特殊性质——即特定格式的MD5值被视为相等——来绕过PHP中的一项验证机制。通过实例展示了多个以'0e'开头的MD5值,这些值被认为等价,从而可以被用来构造payload,实现对目标系统的绕过攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>

如果知道MD5碰撞的概念,同时知道了在PHP中的MD5中的0e的比较,这道题目就十分的简单。

如果md的值是以0e开头的,那么就与其他的0e开头的Md5值是相等的。例子如下:

md5('s878926199a')=0e545993274517709034328855841020 
md5('s155964671a')=0e342768416822451524974117254469 //可以看到两者的md5值都是以0e开头的,则 md5('s878926199a')==md5('s155964671a') //就是True
php关于==号是这样处理的,如果一边是整型,另一边也需要是整型。

 

($a != 'QNKCDZO' && $md51 == $md52)

发现 $a != 'QNKCDZO' 并且 $md51 == $md52

因为$md51 = md5('QNKCDZO')=0e830400451993494058024219903391

根据上文介绍,我们发现只要满足md5加密后为 "0e***************"就可以

 

如果知道MD5碰撞的概念,同时知道了在PHP中的MD5中的0e的比较,这道题目就十分的简单。

如果md的值是以0e开头的,那么就与其他的0e开头的Md5值是相等的。例子如下:

md5('s878926199a')=0e545993274517709034328855841020 
md5('s155964671a')=0e342768416822451524974117254469 //可以看到两者的md5值都是以0e开头的,则 md5('s878926199a')==md5('s155964671a') //就是True
php关于==号是这样处理的,如果一边是整型,另一边也需要是整型。

 

($a != 'QNKCDZO' && $md51 == $md52)

发现 $a != 'QNKCDZO' 并且 $md51 == $md52

因为$md51 = md5('QNKCDZO')=0e830400451993494058024219903391

根据上文介绍,我们发现只要满足md5加密后为 "0e***************"就可以

 

下面是0e开头的md5和原值

s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a

所以随便挑一个0e开头的md5对应的原码 构造 playload即可

比如 ?a=s878926199a

得到

--------------------- 
版权声明:本文为优快云博主「就是217」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.youkuaiyun.com/qq_42777804/article/details/98059848

bugkumd5碰撞
s11show_163的博客
02-29 521
bugku漏洞的源代码: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { echo ...
【CTF bugku 备份是个好习惯】关于.bak备份文件,md5绕过
zw05011的博客
01-13 3092
知识点 常用的备份文件后缀有 .bak, .swp bak是备份文件的扩展名,现在很多软件都会创建备份文件,bak文件是各类软件产生的备份文件。打开bak文件的方法有简单,只需要知道它的生成软件,然后将后缀名改成生成格式的默认软件就可以了。一般把.bak文件直接重命名替换成该文件的格式就可以恢复此文件并正常打开了,如当cad 文件被误删或无法打开时你只需要把bak文件的后缀名改为dwg就可以恢复了,Office文件也是一样。但如果不知道bak文件什么程序产生的,可以利 用WINHEX按二进制文件打开,
bugku——md5()函数
吃肉唐僧的博客
09-01 981
打开题目,又是MD5函数 以为又是一个套路直接md5('240610708') == md5('QNKCDZO')去尝试 结果构造http://123.206.87.240:9009/18.php?username=240610708&&password=QNKCDZO一直失败 后来再审计代码,发现判断的时候用了===, 所以而刚才我用那个的方法MD5只能==弱类型绕过 ...
BugKu Web渗透之MD5
最新发布
cai_huaer的博客
06-12 328
md5大家应该都清楚,是一种哈希函数,大多数用于验证数据是否一致。而 collision 是碰撞的意思。碰撞就是不同的两个值,通过函数计算,结果相同的意思。我尝试用get请求去传参,随意在后面写了一个a=333,测试结果为:false。那么我就想到了,当md5值计算结果为0e开头的,php中都判断为相等的。思考他的提示,please input a——请输入a。于是尝试找一个md5值为0e开头的。既然有返回,那说明方法是对的。我在网页上到处点了下,没发现可以输入的地方。首先,了解下哈希函数的三个特性。
Bugku——md5函数
王嘟嘟的博客
10-30 2226
0x00 前言 你可能需要了解一下,https://blog.youkuaiyun.com/qq_36869808/article/details/83377360 题目 一道审计的题目 0x01 start 看到是md5函数,简单搜索一下关于md5()的缺陷,发现,原来md5没有办法处理数组格式的。 然后构造一下payload 成功拿到flag。 看到还有其他的方法就是使用,原理就是0e在比较的时候会将...
bugku md5()函数
m0_52432374的博客
02-04 393
md5()函数 <?php error_reporting(0); $flag = 'flag{test}'; if (isset($_GET['username']) and isset($_GET['password'])) { if ($_GET['username'] == $_GET['password']) print 'Your password can not be your username.'; else if (md5($_GET['username']) === md5($_G
BUGKU------md5函数
Y4tacker的博客
07-27 7586
我的小错误 打开题目 以为又是一个套路直接md5(‘s878926199a’) == md5(‘QNKCDZO’)去尝试 结果一直不行 后来再审计代码,发现判断的时候用了===, 所以而刚才我用那个的方法MD5只能==弱类型绕过 绕过姿势 MD5无法处理数组 附带MD5 QNKCDZO 0e830400451993494058024219903391 240610708 s878926199a 0e545993274517709034328855841020 s155964671a 0e34
Bugku MD5 wp
m0_63253040的博客
04-25 457
进入环境只有一句话 让我们输入一个a 题目提示md5碰撞,那我们传入这些值中的一个即可 s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e5.
BugKu 备份是个好习惯(扫描以及PHP弱类型中MD5绕过
weixin_45871855的博客
04-07 421
——题记—— 这个题重要考察都PHP代码的理解以及PHP弱类型中MD5绕过题型的考察 PHP弱类型 string(字符串) integer(整数) array(数组) double(浮点数) boolean(布尔) object resource NULL 题型1 strcmp 比较字符串大小 题型2 MD5绕过 方法1 科学计数法绕过 md5(‘QNKXDZO’)==md5(‘24061070...
ctf php代码审计 绕过,Bugku CTF 之代码审计解题记录
weixin_35870524的博客
04-11 974
前言此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧extract变量覆盖extract($_GET):$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量file_ge...
BugkuCTF –WEB-备份是个好习惯(备份源码泄露+md5漏洞)
Jaychouzzk
11-20 759
先打开题目看一下 题目刚开始给了一串md5值 尝试先去解密一下 空密码??题目名字叫做备份是个好习惯。扫一下网站目录,瞅瞅有没有备份的文件啥的 发现了一个.bak文件,估计是index.php备份的源码,下载下来看一下 附上有关备份文件的知识:备份文件一般在后缀名后添加.bak或者.swp   &lt;?php /** * Created by PhpStorm....
Bugku—web题解
Lemon's blog
08-21 2730
前言:最近做了一些Bugku入门的web题目,感觉web题挺有趣的,并非是得出flag,而是可以通过一个题目学习到很多知识。 域名解析 题目说把 flag.baidu.com 解析到123.206.87.240 就能拿到flag,如果了解域名解析的原理和系统文件host的作用,那这道题就很简单了。 通俗的话说:域名是为了我们方便记忆,但计算机识别的是IP地址,所以要将域名解析为IP地址才能访问到自...
bugku-md5 collision(NUPT_CTF)
烟敛寒林的博客
03-04 1091
题目地址:http://123.206.87.240:9009/md5.php 进入题目后,提示请输入a,尝试用GET方式传参数a 考虑到与md5进行碰撞,可以参考下面这篇文章,记录了关于0e开头的md5值总结: https://blog.youkuaiyun.com/dyw_666666/article/details/82348564 得到flag啦 ...
Bugku 【web】 md5 collision
qq_52669977的博客
11-01 762
Bugku 【web】 md5 collision
bugkumd5 collision(NUPT_CTF)
Seaern的博客
09-03 565
题目链接 题目给的提示是md5 页面给的提示是输入a please input a 那就是md5漏洞了 PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。 攻击者可以利用这一漏洞,通过输入一个经过哈希后以”0E”开头...
md5加密相等绕过
weixin_53498616的博客
03-18 774
在PHP中,利用”!=”或”==”来对哈希值进行比较时,PHP会把每一个以”0e”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么PHP将会认为他们相同,都是0。 附几个md5加密后哈希值为"0e"开头的字符串: QNKCDZO TUFEPMC 240610708 314282422 s878926199a s155964671a s214587387a s214587387a ...
md5 collision(md5碰撞)
烟雨天青色
07-24 7063
题目来源:南京邮电大学网络攻防训练平台 Web题 md5 collision 解题过程: 点开题目标题,呈现在眼前的是一段php代码,代码如下: $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md5...
使用MD5加密字符串之后 比较两个字符串是否相等
Yqy_12的博客
06-29 2209
使用MD5加密字符串后,比较两个字符串是否相等
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值