BUU_Web Easy MD5
打开解题网址,一个提交查询界面:
随便提交一个字符串,进行抓包观察,看到提示,直接给出了后台代码的一部分:
password 这里用了一个md5() 函数,解读一下这个函数放在这里的意义:
- md5($pass,true) 将 pass 参数进行 md5 加密,true 参数设置,以16进制格式输出,也就是说 password 最终格式为 16进制;
解题:
因为 sql 会自动将 传入的16进制数转换成 ascii 码,然后将 ascii 码转换为字符,所以直接填入大佬提供的 ffifdyop :
解析: 原本后台代码为:'select * from 'admin' where password='.md($pass,true)
传入payload, password=ffifdyop ,使得 $pass=ffifdyop,再经过 md5加密 + 16进制输出,然后传入 mysql,执行语句就变成了:'select * from admin where password=' 'or'6<trash>'
就相当于 :
select * from admin where 1;
相当于一个万能密码,这条语句执行会将所有admin 表中的值查询出来;
example:
上面的payload 执行后,发现:直接访问levels91.php:
很简单的 md5 绕过,只要传入数组,使得 md5 处理两个参数都返回 0 即可,payload:
?a[]=1&b[]=2
绕过成功并提示:
直接访问 levell14.php:
显然,又是一个简单的md5绕过,payload(post 方式提交):
?param1[]=1¶m2[]=2