md5 collision（50）

------南京郵電大學ctf: http://chinalover.sinaapp.com/web19/

發現了一串代碼

<?php
$md51 = md5(‘QNKCDZO‘);
$a = @$_GET[‘a‘];
$md52 = @md5($a);
if(isset($a)){
if ($a != ‘QNKCDZO‘ && $md51 == $md52) {
    echo "nctf{*****************}";
} else {
    echo "false!!!";
}}
else{echo "please input a";}
 
?>

這個題目如果知道MD5碰撞的概念，同時知道了在PHP中的MD5中的0e的比較，這道題目就十分的簡單。

如果md的值是以0e開頭的，那麽就與其他的0e開頭的Md5值是相等的。例子如下：

md5(‘s878926199a‘)=0e545993274517709034328855841020
md5(‘s155964671a‘)=0e342768416822451524974117254469
//可以看到兩者的md5值都是以0e開頭的，則
md5(‘s878926199a‘)==md5(‘s155964671a‘) //就是True

詳細解釋：

php關於==號是這樣處理的，如果一邊是整型，另一邊也需要是整型。

0e545993274517709034328855841020

這是一個整數，在php裏是理解為0*10^4549...20的意思，那麽其值是0

同樣

0e342768416822451524974117254469

這是一個整數，在php裏是理解為0*10^34..69的意思，那麽其值是0

舉一個反面的例子

1e1和1e2

1e1 == 1e2 這個結果是對是錯？

這裏

1e1=1*10^1=10

1e2=1*10^2=100

所以1e1 == 1e2這是false，但是

100 == 1e2 這是true，為什麽1e2先轉為整型，是100

註意，對於e是指冪次。而其他26字符並不具有此能力。

<?php
var_dump
 
(0 == "a"); // 0 == 0 -> true
var_dump("1" == "01"); // 1 == 1 -> true
var_dump("10" == "1e1"); // 10 == 10 -> true
var_dump(100 == "1e2"); // 100 == 100 -> true

switch ("a") {
case 0:
    echo "0";
    break;
case "a": // never reached because "a" is already matched with 0
    echo "a";
    break;
}
?>

我們再來看代碼：

if ($a != ‘QNKCDZO‘ && $md51 == $md52) {
    echo "nctf{*****************}";

發現 $a != ‘QNKCDZO‘ 並且 $md51 == $md52

因為$md51 = md5(‘QNKCDZO‘)=0e830400451993494058024219903391

根據上文介紹，我們發現只要滿足md5加密後為 "0e***************"就可以

所以我們隨便拿一個 &md52=s878926199a 就可以得到flag

這道題的價值是讓我們重新學習了php的弱類型的比較

以下是總結：

php中有兩種比較的符號 == 與 ===

1 <?php
2 $a==$b ;
3 $a===$b ;
4 ?>

=== 在進行比較的時候，會先判斷兩種字符串的類型是否相等，再比較

== 在進行比較的時候，會先將字符串類型轉化成相同，再比較

如果比較一個數字和字符串或者比較涉及到數字內容的字符串，則字符串會被轉換成數值並且比較按照數值來進行

這裏明確了說如果一個數值和字符串進行比較的時候，會將字符串轉換成數值

1 <?php
2 var_dump("admin"==0);  //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true 
7 ?>  //上述代碼可自行測試

1 觀察上述代碼，"admin"==0 比較的時候，會將admin轉化成數值，強制轉化,由於admin是字符串，轉化的結果是0自然和0相等
2 "1admin"==1 比較的時候會將1admin轉化成數值,結果為1，而“admin1“==1 卻等於錯誤，也就是"admin1"被轉化成了0,為什麽呢？？
3 "0e123456"=="0e456789"相互比較的時候，會將0e這類字符串識別為科學技術法的數字，0的無論多少次方都是零，所以相等

對於上述的問題我查了php手冊

當一個字符串欸當作一個數值來取值，其結果和類型如下:如果該字符串沒有包含‘.‘,‘e‘,‘E‘並且其數值值在整形的範圍之內
該字符串被當作int來取值，其他所有情況下都被作為float來取值，該字符串的開始部分決定了它的值，如果該字符串以合法的數值開始，則使用該數值，否則其值為0。

1 <?php
2 $test=1 + "10.5"; // $test=11.5(float)
3 $test=1+"-1.3e3"; //$test=-1299(float)
4 $test=1+"bob-1.3e3";//$test=1(int)
5 $test=1+"2admin";//$test=3(int)
6 $test=1+"admin2";//$test=1(int)
7 ?>

所以就解釋了"admin1"==1 =>False 的原因

0x03 實戰

md5繞過(Hash比較缺陷)

 1 <?php
 2 if (isset($_GET[‘Username‘]) && isset($_GET[‘password‘])) {
 3     $logined = true;
 4     $Username = $_GET[‘Username‘];
 5     $password = $_GET[‘password‘];
 6 
 7      if (!ctype_alpha($Username)) {$logined = false;}
 8      if (!is_numeric($password) ) {$logined = false;}
 9      if (md5($Username) != md5($password)) {$logined = false;}
10      if ($logined){
11     echo "successful";
12       }else{
13            echo "login failed!";
14         }
15     }
16 ?>    

題目大意是要輸入一個字符串和數字類型，並且他們的md5值相等，就可以成功執行下一步語句

介紹一批md5開頭是0e的字符串 上文提到過，0e在比較的時候會將其視作為科學計數法，所以無論0e後面是什麽，0的多少次方還是0。md5(‘240610708‘) == md5(‘QNKCDZO‘)成功繞過!

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

json繞過

<?php
if (isset($_POST[‘message‘])) {
    $message = json_decode($_POST[‘message‘]);
    $key ="*********";
    if ($message->key == $key) {
        echo "flag";
    } 
    else {
        echo "fail";
    }
 }
 else{
     echo "~~~~";
 }
?>

輸入一個json類型的字符串，json_decode函數解密成一個數組，判斷數組中key的值是否等於 $key的值，但是$key的值我們不知道，但是可以利用0=="admin"這種形式繞過

最終payload message={"key":0}

array_search is_array繞過

 1 <?php
 2 if(!is_array($_GET[‘test‘])){exit();}
 3 $test=$_GET[‘test‘];
 4 for($i=0;$i<count($test);$i++){
 5     if($test[$i]==="admin"){
 6         echo "error";
 7         exit();
 8     }
 9     $test[$i]=intval($test[$i]);
10 }
11 if(array_search("admin",$test)===0){
12     echo "flag";
13 }
14 else{
15     echo "false";
16 }
17 ?>

上面是自己寫的一個，先判斷傳入的是不是數組，然後循環遍歷數組中的每個值，並且數組中的每個值不能和admin相等，並且將每個值轉化為int類型，再判斷傳入的數組是否有admin，有則返回flag

payload test[]=0可以繞過

下面是官方手冊對array_search的介紹

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle，$haystack必需，$strict可選 函數判斷$haystack中的值是存在$needle，存在則返回該值的鍵值 第三個參數默認為false，如果設置為true則會進行嚴格過濾

1 <?php
2 $a=array(0,1);
3 var_dump(array_search("admin",$a)); // int(0) => 返回鍵值0
4 var_dump(array_seach("1admin",$a));  // int(1) ==>返回鍵值1
5 ?>

array_search函數 類似於== 也就是$a=="admin" 當然是$a=0 當然如果第三個參數為true則就不能繞過

strcmp漏洞繞過 php -v <5.3

 1 <?php
 2     $password="***************"
 3      if(isset($_POST[‘password‘])){
 4 
 5         if (strcmp($_POST[‘password‘], $password) == 0) {
 6             echo "Right!!!login success";n
 7             exit();
 8         } else {
 9             echo "Wrong password..";
10         }
11 ?>

strcmp是比較兩個字符串，如果str1<str2 則返回<0 如果str1大於str2返回>0 如果兩者相等 返回0

我們是不知道$password的值的，題目要求strcmp判斷的接受的值和$password必需相等，strcmp傳入的期望類型是字符串類型，如果傳入的是個數組會怎麽樣呢

我們傳入 password[]=xxx 可以繞過 是因為函數接受到了不符合的類型，將發生錯誤，但是還是判斷其相等

payload: password[]=xxx

switch繞過

 1 <?php
 2 $a="4admin";
 3 switch ($a) {
 4     case 1:
 5         echo "fail1";
 6         break;
 7     case 2:
 8         echo "fail2";
 9         break;
10     case 3:
11         echo "fail3";
12         break;
13     case 4:
14         echo "sucess";  //結果輸出success;
15         break;
16     default:
17         echo "failall";
18         break;
19 }
20 ?>

這種原理和前面的類似，就不詳細解釋了

1. md5 collision（50）