这里显示查询
这里没有回显,f12一下查看有没有有用的信息
我使用的火狐浏览器在网模块中找到了响应头
Hint:select * from ‘admin’ where password =md5($pass,ture)
这里的关键在于password=md5($pass,ture)
标准格式
md5(string,raw)
| 参数 | 描述 |
|---|---|
| string | 必需。要计算的字符串。 |
| raw | 可选。规定十六进制或二进制输出格式: TRUE-原始 16字符二进制格式 。 FALSE-默认 32字符十六进制数。 |
这里的是原始16字符二进制格式
这里说一下两个的联系,这里的16位秘文和32位秘文的第8-24位子字符串时一样的,也就是中间的16位。
这里的原始16字符二进制格式一般会有乱码,如果想解决的话
1.对输出的16位字节的二进制转换为十六进制。
2.取32位秘文的中间16位
如果MD5值经过hex后,就构成万能密码进行了sql注入,这个就是这个题的关键
在mysql里面,在用作布尔型判断时,以数字开头的字符串会被当做整型数。
要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。
如果只有数字的话就不用单引号
这里有个脚本能够跑出来
<?php
for ($i = 0;;) {
for ($c = 0; $c < 1000000; $c++, $i++)
if (stripos(md5($i, true), '\'or\'') !== false)
echo "\nmd5($i) = " . md5($i, true) . "\n";
echo ".";
}
?>
这里用:ffifdyop,这个MD5加密后会返回’or’6XXXXXXXXX(这里的XXXXX是一些乱码和不可见字符)
这里的SQL语句会变成
select * from `admin` where password=''or'6XXXXXXXXX'
进入下一关
查看源码
<!--
$a = $GET['a'];
$b = $_GET['b'];
if($a != $b && md5($a) == md5($b)){
// wow, glzjin wants a girl friend.
-->
这里使用了==弱比较
== 在进行比较的时候,会先将两边的变量类型转化成相同的,再进行比较
0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。
这里完全可以去寻找明文不同但MD5值为"0exxxxx"
这里提供两个QNKCDZO和s878926199a
构造payload
http://37d8016d-643c-4764-8e62-c8a24e224a75.node3.buuoj.cn/levels91.php?a=QNKCDZO&b=s878926199a
这里用POST的方式传入了两个不相等的参数,然而这两个参数的MD5值要相等,并且是===强比较
MD5有个特点是:如果传入的两个参数不是字符串,而是数组,md5()函数无法解出其数值,而且不会报错,就会得到===强比较的值相等
payload
param1[]=1¶m2[]=2即可
