1. md5 collision（50）

md5 collision（50）

------南京邮电大学ctf: http://chinalover.sinaapp.com/web19/

发现了一串代码

<?php

$md51 = md5('QNKCDZO');

$a = @$_GET['a'];

$md52 = @md5($a);

if(isset($a)){

if ($a != 'QNKCDZO' && $md51 == $md52) {

    echo "nctf{*****************}";

} else {

    echo "false!!!";

}}

else{echo "please input a";}

?>

这个题目如果知道MD5碰撞的概念，同时知道了在PHP中的MD5中的0e的比较，这道题目就十分的简单。

如果md的值是以0e开头的，那么就与其他的0e开头的Md5值是相等的。例子如下：

md5('s878926199a')=0e545993274517709034328855841020

md5('s155964671a')=0e342768416822451524974117254469

//可以看到两者的md5值都是以0e开头的，则

md5('s878926199a')==md5('s155964671a') //就是True

详细解释：

php关于==号是这样处理的，如果一边是整型，另一边也需要是整型。

0e545993274517709034328855841020

这是一个整数，在php里是理解为0*10^4549...20的意思，那么其值是0

同样

0e342768416822451524974117254469

这是一个整数，在php里是理解为0*10^34..69的意思，那么其值是0

举一个反面的例子

1e1和1e2

1e1 == 1e2 这个结果是对是错？

这里

1e1=1*10^1=10

1e2=1*10^2=100

所以1e1 == 1e2这是false，但是

100 == 1e2 这是true，为什么1e2先转为整型，是100

注意，对于e是指幂次。而其他26字符并不具有此能力。

<?php

var_dump(0 == "a"); // 0 == 0 -> true

var_dump("1" == "01"); // 1 == 1 -> true

var_dump("10" == "1e1"); // 10 == 10 -> true

var_dump(100 == "1e2"); // 100 == 100 -> true

switch ("a") {

case 0:

    echo "0";

    break;

case "a": // never reached because "a" is already matched with 0

    echo "a";

    break;

}

?>

我们再来看代码：

if ($a != 'QNKCDZO' && $md51 == $md52) {

    echo "nctf{*****************}";

发现 $a != 'QNKCDZO' 并且 $md51 == $md52

因为$md51 = md5('QNKCDZO')=0e830400451993494058024219903391

根据上文介绍，我们发现只要满足md5加密后为 "0e***************"就可以

所以我们随便拿一个 &md52=s878926199a 就可以得到flag

这道题的价值是让我们重新学习了php的弱类型的比较

以下是总结：

php中有两种比较的符号 == 与 ===

1 <?php

2 $a==$b ;

3 $a===$b ;

4 ?>

=== 在进行比较的时候，会先判断两种字符串的类型是否相等，再比较

== 在进行比较的时候，会先将字符串类型转化成相同，再比较

如果比较一个数字和字符串或者比较涉及到数字内容的字符串，则字符串会被转换成数值并且比较按照数值来进行

这里明确了说如果一个数值和字符串进行比较的时候，会将字符串转换成数值

1 <?php

2 var_dump("admin"==0);  //true

3 var_dump("1admin"==1); //true

4 var_dump("admin1"==1) //false

5 var_dump("admin1"==0) //true

6 var_dump("0e123456"=="0e4456789"); //true

7 ?>  //上述代码可自行测试

1 观察上述代码，"admin"==0 比较的时候，会将admin转化成数值，强制转化,由于admin是字符串，转化的结果是0自然和0相等

2 "1admin"==1 比较的时候会将1admin转化成数值,结果为1，而“admin1“==1 却等于错误，也就是"admin1"被转化成了0,为什么呢？？

3 "0e123456"=="0e456789"相互比较的时候，会将0e这类字符串识别为科学技术法的数字，0的无论多少次方都是零，所以相等

对于上述的问题我查了php手册

当一个字符串欸当作一个数值来取值，其结果和类型如下:如果该字符串没有包含'.','e','E'并且其数值值在整形的范围之内
该字符串被当作int来取值，其他所有情况下都被作为float来取值，该字符串的开始部分决定了它的值，如果该字符串以合法的数值开始，则使用该数值，否则其值为0。

1 <?php

2 $test=1 + "10.5"; // $test=11.5(float)

3 $test=1+"-1.3e3"; //$test=-1299(float)

4 $test=1+"bob-1.3e3";//$test=1(int)

5 $test=1+"2admin";//$test=3(int)

6 $test=1+"admin2";//$test=1(int)

7 ?>

所以就解释了"admin1"==1 =>False 的原因

0x03 实战

md5绕过(Hash比较缺陷)

 1 <?php

 2 if (isset($_GET['Username']) && isset($_GET['password'])) {

 3     $logined = true;

 4     $Username = $_GET['Username'];

 5     $password = $_GET['password'];

 6

 7      if (!ctype_alpha($Username)) {$logined = false;}

 8      if (!is_numeric($password) ) {$logined = false;}

 9      if (md5($Username) != md5($password)) {$logined = false;}

10      if ($logined){

11     echo "successful";

12       }else{

13            echo "login failed!";

14         }

15     }

16 ?>

题目大意是要输入一个字符串和数字类型，并且他们的md5值相等，就可以成功执行下一步语句

介绍一批md5开头是0e的字符串上文提到过，0e在比较的时候会将其视作为科学计数法，所以无论0e后面是什么，0的多少次方还是0。md5('240610708') == md5('QNKCDZO')成功绕过!

QNKCDZO

0e830400451993494058024219903391

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

json绕过

<?php

if (isset($_POST['message'])) {

    $message = json_decode($_POST['message']);

    $key ="*********";

    if ($message->key == $key) {

        echo "flag";

    }

    else {

        echo "fail";

    }

 }

 else{

     echo "~~~~";

 }

?>

输入一个json类型的字符串，json_decode函数解密成一个数组，判断数组中key的值是否等于 $key的值，但是$key的值我们不知道，但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}

array_search is_array绕过

 1 <?php

 2 if(!is_array($_GET['test'])){exit();}

 3 $test=$_GET['test'];

 4 for($i=0;$i<count($test);$i++){

 5     if($test[$i]==="admin"){

 6         echo "error";

 7         exit();

 8     }

 9     $test[$i]=intval($test[$i]);

10 }

11 if(array_search("admin",$test)===0){

12     echo "flag";

13 }

14 else{

15     echo "false";

16 }

17 ?>

上面是自己写的一个，先判断传入的是不是数组，然后循环遍历数组中的每个值，并且数组中的每个值不能和admin相等，并且将每个值转化为int类型，再判断传入的数组是否有admin，有则返回flag

payload test[]=0可以绕过

下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle，$haystack必需，$strict可选函数判断$haystack中的值是存在$needle，存在则返回该值的键值第三个参数默认为false，如果设置为true则会进行严格过滤

1 <?php

2 $a=array(0,1);

3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0

4 var_dump(array_seach("1admin",$a));  // int(1) ==>返回键值1

5 ?>

array_search函数类似于== 也就是$a=="admin" 当然是$a=0 当然如果第三个参数为true则就不能绕过

strcmp漏洞绕过 php -v <5.3

 1 <?php

 2     $password="***************"

 3      if(isset($_POST['password'])){

 4

 5         if (strcmp($_POST['password'], $password) == 0) {

 6             echo "Right!!!login success";n

 7             exit();

 8         } else {

 9             echo "Wrong password..";

10         }

11 ?>

strcmp是比较两个字符串，如果str1<str2 则返回<0 如果str1大于str2返回>0 如果两者相等返回0

我们是不知道$password的值的，题目要求strcmp判断的接受的值和$password必需相等，strcmp传入的期望类型是字符串类型，如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过是因为函数接受到了不符合的类型，将发生错误，但是还是判断其相等

payload: password[]=xxx

switch绕过

 1 <?php

 2 $a="4admin";

 3 switch ($a) {

 4     case 1:

 5         echo "fail1";

 6         break;

 7     case 2:

 8         echo "fail2";

 9         break;

10     case 3:

11         echo "fail3";

12         break;

13     case 4:

14         echo "sucess";  //结果输出success;

15         break;

16     default:

17         echo "failall";

18         break;

19 }

20 ?>

这种原理和前面的类似，就不详细解释了

下面是松散图的比较，希望对大家有用