版权声明:本文由CliffordWR原创,转载请注明出处。 https://blog.csdn.net/CliffordR/article/details/82972869
这是bugku里面的一道代码审计的题目,里面综合了两个php函数漏洞,md5()函数漏洞和strcmp()函数漏洞,看一下代码。
可以看出是利用php中的md5()函数漏洞和strcmp()函数漏洞。PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会 认为他们相同,都是0。同时MD5不能处理数组,有时也可以用数组绕过。同时strcmp()函数也可用数组绕过。
所以构造payload
http://47.93.190.246:49162/?v1[]=1&v2[]=2&v3[]=1即可
法二:意思大致就是v1!=v2,md5值相等,之前提到过,是240610708和QNKCDZO,然后比较v3和flag,这里利用了strcmp的一个漏洞,不能比较数组,这里我的构造如下: http://47.93.190.246:49162/?v1=240610708&v2=QNKCDZO&v3[]=1
对比两种方法来看:
法一比法二多利用了一个MD5函数漏洞,MD5不能处理数组,进行了MD5数组绕过。
Payload:?v1[]=1&v2[]=2&v3[]=3 审计代码可知,虽然可以利用MD5漏洞的绕过但是V1不能等于V2,所以V1[]=1 v2[]=2 保证这两个不一样就可以了,或者?v1[]=1&v2[]&v3[]都可以。V3可以用strcmp的绕过。