0e绕过

​ SHA-1 也适用。

​ 当字符串为 ^[0-9]+e[0-9]+ 模式时,PHP 将试图把字符串转换为用科学计数法表示的数。如果不是真正的科学计数法表示的数,即 e 后面不全是数字,转换将出错,此时 PHP 将把它视为一个字符串。

​ 所以,如果两字符串的 MD5 值都是 ^0e[0-9]+ 模式,即 e 后全部是数字,则可绕过 MD5 弱相等。

​ 以下字符串的 MD5 值均为 ^0e[0-9]+ 的模式,即可转为数字 0 :

  • QNKCDZO
  • QLTHNDT
  • PJNPDWY
  • NWWKITQ
  • NOOPCJF
  • MMHUWUV
  • MAUXXQC
  • 240610708
  • s878926199a
  • s155964671a
  • s214587387a

​ 以下字符串的 SHA-1 值均为 ^0e[0-9]+ 的模式,即可转为数字 0 :

  • 10932435112
  • aaroZmOk
  • aaK1STfY
  • aaO8zKZF
  • aa3OFF9m
  • 0e1290633704

​ 对于双重 md5() ,以下字符串进行两次 md5() 后以 0e 开头:

  • 7r4lGXCH2Ksu2JNT3BYM
  • CbDLytmyGm2xQyaLNhWn
  • 770hQgrBOjrcqftrlaZk

​ 对于 $a==md5($a)

  • 0e215962017

​ 绕过 SQL 中的 md5() ,参考[BJDCTF 2020]easy_md5

  • ffifdyop ,经过 md5() 函数后结果为 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
  • 129581926211651571912466741651878684928 ,经过 md5() 函数后结果为 \x06\xdaT0D\x9f\x8fo#\xdf\xc1'or'8

数组绕过

​ PHP md5() 函数不能处理数组类型的量,将返回 NULL 。使用数组可以绕过 MD5 弱相等和强相等。

​ sha1() 也不能处理数组类型的量,所以使用数组也可以绕过 SHA-1 弱相等和强相等。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$a[]=1;
$b[]=2;
var_dump($a);
echo md5($a)==md5($b); //NULL==NULL
echo md5($a)===md5($b); //NULL===NULL

/*
输出:
array(1) {
  [0]=>
  int(1)
}
1
1
*/

NaN和INF绕过

​ NAN 和 INF ,分别为非数字和无穷大,但 var_dump() 显示的数据类型都是 double 。

​ NAN 和 INF 拥有特殊的性质,它们与任何数据类型(除了true)做强类型或弱类型比较均为 false ,甚至 NAN===NAN 也是false 。但 md5() 函数处理它们的时候,是将其直接转换为字符串 NAN INF 使用的,故 md5('NaN')===md5('NaN') 为 true 。

MD5碰撞

​ 几组 payload:

1
2
3
4
5
6
7
8
9
#1
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2   
b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2   
#2
a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2   
b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%
#3
$a="\x4d\xc9\x68\xff\x0e\xe3\x5c\x20\x95\x72\xd4\x77\x7b\x72\x15\x87\xd3\x6f\xa7\xb2\x1b\xdc\x56\xb7\x4a\x3d\xc0\x78\x3e\x7b\x95\x18\xaf\xbf\xa2\x00\xa8\x28\x4b\xf3\x6e\x8e\x4b\x55\xb3\x5f\x42\x75\x93\xd8\x49\x67\x6d\xa0\xd1\x55\x5d\x83\x60\xfb\x5f\x07\xfe\xa2";
$b="\x4d\xc9\x68\xff\x0e\xe3\x5c\x20\x95\x72\xd4\x77\x7b\x72\x15\x87\xd3\x6f\xa7\xb2\x1b\xdc\x56\xb7\x4a\x3d\xc0\x78\x3e\x7b\x95\x18\xaf\xbf\xa2\x02\xa8\x28\x4b\xf3\x6e\x8e\x4b\x55\xb3\x5f\x42\x75\x93\xd8\x49\x67\x6d\xa0\xd1\xd5\x5d\x83\x60\xfb\x5f\x07\xfe\xa2";

​ Windows 下可用 fastcoll.exe 生成。

SHA-1碰撞

​ payload:

1
2
a=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1
b=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1