CTFshow-Web-MD5加密绕过

一、靶场:ctfshow web5
二、解题步骤
步骤一:打开靶场看到有源码,先对源码进行代码审计

可以发现以下为有效部分:

<?php

$flag="";

$v1=$_GET['v1'];
$v2=$_GET['v2'];

if(isset($v1)&&isset($v2)){
    if(!ctype_alpha($v1)){
        die("v1error");
    }
    if(!is_numeric($v2)){
        die("v2error");
    }
    if(md5($v1)==md5($v2)){
        echo$flag;
    }
}else{
    	echo"whereisflag?";
}
?>

代码中对get请求中v1和v2的值有要求:

1、第一对判断语句表示两个均不能为空

2、然后分别对v1和v2的值有要求:

1)v1的值类型必须为字母(ctype_alpha())

2)v2的值类型必须为数字(is_numeric())

3、满足值类型后,还要求他们的md5值必须一样,但这里有个漏洞:

md5漏洞介绍:

PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0

所以只要v1与v2的md5值以0E开头即可。这样最后php解析到的v1和v2的md5值就都是0了

这里附上常见的0E开头的MD5

0e开头的md5和原值:

QNKCDZO

0e830400451993494058024219903391

240610708

0e462097431906509019562988736854

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

s532378020a

0e220463095855511507588041205815

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s214587387a

0e848240448830537924465865611904

s1502113478a

0e861580163291561247404381396064

s1091221200a

0e940624217856561557816327384675

s1665632922a

0e731198061491163073197128363787

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s1665632922a

0e731198061491163073197128363787

s878926199a

0e545993274517709034328855841020

满足全是字母或者全是数字且md5值的开头是0e的也只有第一条和第二条了。

步骤二:构造payload

由前面的推论构建payload:v1=QNKCDZO&v2=240610708

image-20241126225333356

posted @ 2025-12-03 09:34  shinianyunyan  阅读(9)  评论(0)    收藏  举报