PHP中的md5()函数绕过总结

一.前言

本篇文章记录一下在做ctf题时遇到到的md5()绕过方法。主要分为:

1
2
3
4
md5(key,true);
md5()==md5();
md5()===md5();
(string)key1!==(string)key2&&md5(key1)===md5(key2)

绕过思路。


二.具体方法

1. MD5(key,true)

默认md5第二个参数是false。
FALSE - 默认 32 字符十六进制数
TRUE - 原始 16 字符二进制格式
所以当我们传入一些特殊字符后会在浏览器中显示一些关键字,从而实现绕过。
两个特殊的字符:

1
2
3
4
ffifdyop
129581926211651571912466741651878684928
ffifdyop:T0Do#'or'8
129581926211651571912466741651878684928:'or'6]!r,b。

一般传入ffifdyop即可绕过。

2.md5()==md5()

这个主要用到弱类型比较,以科学计数法0e开头的,在比较时会自动转换成0从而绕过比较。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s1885207154a
0e509367213418206700842008763514

s1502113478a
0e861580163291561247404381396064

s1885207154a
0e509367213418206700842008763514

0e861580163291561247404381396064

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s155964671a
0e342768416822451524974117254469

s1184209335a
0e072485820392773389523109082030

s1665632922a
0e731198061491163073197128363787

s1502113478a
0e861580163291561247404381396064

s1836677006a
0e481036490867661113260034900752

s1091221200a
0e940624217856561557816327384675

s155964671a
0e342768416822451524974117254469

s1502113478a
0e861580163291561247404381396064

s155964671a
0e342768416822451524974117254469

s1665632922a
0e731198061491163073197128363787

s155964671a
0e342768416822451524974117254469

s1091221200a
0e940624217856561557816327384675

s1836677006a
0e481036490867661113260034900752

s1885207154a
0e509367213418206700842008763514

s532378020a
0e220463095855511507588041205815

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s214587387a
0e848240448830537924465865611904

s1502113478a
0e861580163291561247404381396064

s1091221200a
0e940624217856561557816327384675

s1665632922a
0e731198061491163073197128363787

s1885207154a
0e509367213418206700842008763514

s1836677006a
0e481036490867661113260034900752

s1665632922a
0e731198061491163073197128363787

s878926199a
0e545993274517709034328855841020

以上就是一些常用的绕过参数,随便找两个传进去就可以绕过。

3.md5()===md5()

===强制类型比较,当比较时会比较类型和大小,所以用第二种绕过不了。
但是我们可以用数组绕过,当我们传入不符合规定的参数时:md5([1])==md5([2])==error,即error==error从而绕过。

4.(string)key1!==(string)key2&&md5(key1)===md5(key2)

这个在比较时强制类型转换成string类型,所以第三种就不可以了。
但是这个要求我们传入md5相同但是字符串不相同的两个参数,其实这样的情况是存在的。
两条payload:

1
2
Param1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
Param2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

上面的payload就可以绕过,当然还有很多这样的字符串。
注意一下的是在post传参时要urlencode一下。

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×