CTF：PHP MD5函数0E绕过漏洞

作者：高玉涵

博客：blog.csdn.net/cg_i

时间：2021.6.1 8:43

背景

   昨天参加了一场CTF线上赛，面对行业内的安全强队，比赛成绩相差巨大。通过这次比赛，找到了差距，找到了不足，更增长了知识。子曰：“学而不思则罔，思而不学则殆。”计划将经后每次比赛，解题过程中的困惑、思路、整理后分享出来，以达起到巩固知识，也便于帮助有需要的人。因个人能力所限，文中难免会有错误，不妥之处还请批评指正。

赛题源码

本职工作极少接触CTF相关知识，初看此题直接是懵的。代码清晰而简单这里不表，唯一让我困惑的是if($c == md5($c))这一条语句，分析可知当$c==md5($c) 即可拿到Flag。心中诧异：这怎么可能！加密前后的值要相等？逻辑上不通啊！难道要用到md5撞库？这种概率也太小了，假设真的存在这种可能，即使不考虑其巨大的计算量，稍微对加密原理有些常识的人就应知道，世上根本不会存在“加密前后的值要相等”（这还算得上加密码？）我走进了知识盲区，走进了思维的死胡同。

   在长时间的懵圈后，我逐渐冷静下来并断定，主办方不可能出道需耗时100年（我电脑的计算力）才能得出的答案的题。直觉告诉我突破口应是md5()这个函数，它可能存在我不知道的漏洞，确定方向后接下来就是对它发起进攻。

MD5算法

首先还是说一下什么是MD5算法，MD5全名消息摘要算法（Message-Digest Algorithm 5），是一种密码散列函数，可以产生一个128位（16字节）的哈希值（hash value），用于确保信息传输的完整一致性，它的基础原理就是将数据预算变为另一固定长度的值。

MD5的特点

长度一致性：任意长度的数据，计算出来的哈希值长度都是固定的128位。

不对称性：从原数据计算哈希值十分容易，但是知道哈希值去碰撞原数据十分困难。

MD5算法的基本原理

这里采用网上一个大佬绘制的图。

MD5算法的安全问题

其实不仅是MD5，任何一个hash函数，都有被碰撞的可能，所谓碰撞，就是输入不同的值Value和Value得到相同的hash值，这其实不难证明，MD5生成的hash值是由128位组成的，而它必然是一个有限集合，而我们的输入数据是一个无限集，一个无限集映射到有限集上，必然存在两个或多个无限集中的元素映射到同一有限集元素的情况。

PHP  MD5中的安全问题

   相等操作符：用来比较两个值，测试其相等性。

   PHP中有两个相等操作符“==”和“===”。$a == $b，如果类型转换后$a和$b相等，则输出true。$a === $b，如果$a和$b相等，并且类型也相同，则输出true。

PHP是弱类型语言，所以有时会根据引用变量时所处的环境，将变量自动转换为最适合的类型。下面给出例子：

$total = “45 fire engines”; 
$incoming = 10;        
$total = $incoming + $total; // $total = 55

   因为最前面的$total字符串以整数值开头，所以计算中就使用了这个值。如果数学计算中用到包含e或E（表示科学计数法）的字符串，这个字符串将作为浮点数进行计算。

有了上述知识我们就可以通过构造特别参数，将原本不相等的if判断相等。原理：在进行“==”判断的时候，会先将字符串类型转化成相同再比较。转换的规则为，若该字符串以合法的数值开始，则使用该值，否则其值为0。因此，根据这一点，可以遍历出一个字符串，其MD5加密前后都是'0e'开头且后面纯数字,这样就能保证值是相等。

Python写的暴库代码（注：2020.6.4修改，原我写的多进程代码存在BUG，这里引用了网上的一段代码）

import hashlib

def md5_enc(s):
    m = hashlib.md5()
    m.update(str(s).encode('utf-8'))
    return m.hexdigest()

if __name__ == '__main__':
    result = []
    for i in range(0, 9999999999):
        i = '0e' + str(i)
        enc = md5_enc(i)
        print(i+" md5 is "+enc)
        # md5值前两位为0e
        if enc[:2] == "0e":
            # md5值0e后为纯数字
            if enc[2:].isdigit():
                result.append(i)
                print("Got Result:"+i)
                break

跑了40分钟得到一个值：0e215962017

MD5 == 0e291242476940776845150308577824

构造URL：http://1.1.1.1/2.php?a=1&b=0&c=0e215962017，成功取得FLAG。如下图。

CTF意义所在

CTF题都是由业内专家命题，往往凝聚着他们多年积累出来的技能，是信息安全基本概念、攻防技术、技巧浓缩和提炼。能够给不能层次的人在技术上带来提高。除此之外，高质量得CTF题都没法直接使用现成工具解出，一般需要在理解基本原理的基础上，自己编写代码来求解，这个过程会加深和巩固计算机基础知识，通过CTF大赛和国内外强队比拼，增长了知识，开阔了视野，提升了能力。

一、遇到问题

java md5的输出结果和php md5的输出结果不一致。

二、解决代码

java

import java.security.MessageDigest;

public class md5Test {
    /**
     * @param input 输入
     * @return 返回16个字节
     * @throws Exception
     */

    public static byte[] originMD5(byte[] input) throws Exception {
        MessageDigest md5 = MessageDigest.getInstance("MD5");
        byte[] out = md5.digest(input);
        return out;
    }

    /**
     * @param input 输入
     * @return 返回16个字节
     * @throws Exception
     */
    public static byte[] MD5(byte[] input) throws Exception {
        String str = new String(input, 0, input.length);
        //创建MD5加密对象
        MessageDigest md5 = MessageDigest.getInstance("MD5");
        // 进行加密
        md5.update(str.getBytes());
        //获取加密后的字节数组
        byte[] md5Bytes = md5.digest();
        String res = "";
        for (int i = 0; i < md5Bytes.length; i++) {
            int temp = md5Bytes[i] & 0xFF;
            // 转化成十六进制不够两位，前面加零
            if (temp <= 0XF) {
                res += "0";
            }
            res += Integer.toHexString(temp);
        }
        return res.getBytes();
    }

    public static void main(String[] args) throws Exception {
        byte[] data = {0x4C, 0x2B, 0x3E, 0x5A, 0x26, 0x3A, 0x3C, 0x18};
        byte[] md5Data = MD5(data);
        String strMd5Key = new String(md5Data, 0, md5Data.length);

        System.out.println(strMd5Key);
    }
}

 php

<?php
/**
 * Created by PhpStorm.
 * User: xianbin
 * Date: 2018/11/20
 * Time: 18:52
 */
class testhexstring
{
    public function arr2Form($arr){
        $tempStr = "";
        foreach ($arr as $key=>$value){
            $tempStr .=$key."=".$value."&";
        }
        return substr($tempStr, 0, strlen($tempStr) -1);
    }

    public function form2Arr($str){
        $arr = array();

        $array=explode('&', $str);

        foreach ($array as $key){
            $tempInfo=explode('=', $key);
            $arr[$tempInfo[0]] = $tempInfo[1];
        }
        return $arr;
    }
    /**
     * 将字节数组转化为String类型的数据
     * @param $bytes 字节数组
     * @param $str 目标字符串
     * @return 一个String类型的数据
     */

    public function toStr($bytes) {
        $str = '';
        foreach($bytes as $ch) {
            $str .= chr($ch);
        }

        return $str;
    }
    /**
     * 转换一个string字符串为byte数组
     * @param $str 需要转换的字符串
     * @param $bytes 目标byte数组
     */
    public function getbytes($str) {

        $len = strlen($str);
        $bytes = array();
        for($i=0;$i<$len;$i++) {
            if(ord($str[$i]) >= 128){
                $byte = ord($str[$i]) - 256;
            }else{
                $byte = ord($str[$i]);
            }
            $bytes[] =  $byte ;
        }
        return $bytes;
    }
}

$test = new testhexstring();
    $data = array(0x4C, 0x2B, 0x3E, 0x5A, 0x26, 0x3A, 0x3C, 0x18);
    $strData = $test->toStr($data);

    $md5Data = md5($strData);

    echo 'md5 origin is:  ',$md5Data,PHP_EOL;
?>

结果：

题目描述

一个网页，不妨设URL为http://haha.com，打开之后是这样的

if (isset($_GET['a']) and isset($_GET['b'])) {
    if ($_GET['a'] != $_GET['b']) {
        if (md5($_GET['a']) === md5($_GET['b'])) {
            echo ('Flag: '.$flag);
        }else {
            echo 'Wrong.';
        }
    }
}

根据这段代码，可以看出；

• 使用GET方式提交参数，可以直接在URL里面改，不用写POST请求
• GET里面必须包含a，b两个参数
• a!=b，这里的不等是严格的value上的不等，而不是!==引用上的不等
• a和b的md5必须相等
• 这段代码是无论如何都要返回的，如果答案错误，先返回wrong，再返回这段代码。

如果提交http://haha.com?a=3&b=2，返回wrong
如果提交http://haha.com?a=3&b=3，跟没带参数一样，因为没有进入到那层判断中去
问，怎么提交才能得到flag

预备知识

PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以”0E”开头的，那么PHP将会认为他们相同，都是0。
常见的payload有

    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a
     sha1(str)
    sha1('aaroZmOk')  
    sha1('aaK1STfY')
    sha1('aaO8zKZF')
    sha1('aa3OFF9m')

同时MD5不能处理数组，若有以下判断则可用数组绕过

if(@md5($_GET['a']) == @md5($_GET['b']))
{
    echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2

题解

URL可以传递数组参数，形式是http://haha.com?x[]=1&x[]=2&x[]=3，这样就提交了一个x[]={1,2,3}的数组。
在PHP中，MD5是不能处理数组的，md5(数组)会返回null，所以md5(a[])==null,md5(b[])==null，md5(a[])=md5(b[])=null,这样就得到答案了。

http://butian.secbox.cn/flag.php?a[]=1&b[]=2
返回结果

Flag: flag{1bc29b36f623ba82aaf6724fd3b16718}
if (isset($_GET['a']) and isset($_GET['b'])) {
    if ($_GET['a'] != $_GET['b']) {
        if (md5($_GET['a']) === md5($_GET['b'])) {
            echo ('Flag: '.$flag);
        }else {
            echo 'Wrong.';
        }
    }
}

我说

一开始我还以为要找到两个md5相同的字符串，百度一番不曾找到。只找到一个fastcoll.exe文件碰撞器，内容都是二进制的，不是字符串。

直接搜索PHP、MD5，就发现原来这题跟密码学半毛钱关系没有，只是简简单单的PHP语言漏洞。
于是余有叹焉，PHP是地球上最垃圾的语言，一方面养活着一大群抱残守缺的程序员，另一方面也养活着一批PHP安全方面的专家。程序员这不是自娱自乐吗？用Java哪来的这么多奇葩问题，强类型的安全性自然而然，一切都是确定的，弱类型带来了太多的可能性。脚本写起来虽然方便，却最好只在本地使用而不要放在易受攻击的地方。

参考资料

CSDN网络安全大神：PHP函数漏洞总结