理解啊啊啊啊 2024-04-17 15:07 采纳率: 66.7%
浏览 33

CTF-php代码审计(MD5)

img

求解答,在这个CTF题中,第一个和第二个if判断我都可以绕过,但是在第三个参数XY的地方无法绕过,有没有师傅解答一下?

其中第三个判断需要XY变量的值等于XYCTF变量的值,且XYCTF变量的值已经定义,然后再进入下一个判断,XY变量的值不等于XYCTF_550102591,且XY变量的MD5和XYCTF_550102591的MD5相同,最后输出flag。

  • 写回答

3条回答 默认 最新

  • DTcode7 优质创作者: 前端开发技术领域 2024-06-09 12:07
    关注

    答案引用自chatgpt生成,望对题主有所帮助/启发;若有帮助,还望采纳!

    CTF-php代码审计(MD5)是指在网络安全竞赛(Capture The Flag,简称CTF)中,对PHP代码进行审计,以找出其中的MD5哈希值。MD5是一种广泛使用的加密哈希函数,可以将任意长度的数据转换为128位的固定长度的哈希值。在CTF比赛中,MD5哈希值通常用于隐藏或保护某些敏感信息,如密码、密钥等。

    基本概念:

    1. MD5:一种加密哈希函数,将任意长度的数据转换为128位的固定长度的哈希值。
    2. CTF:网络安全竞赛,参赛者通过解决一系列网络安全问题来获取分数。
    3. PHP代码审计:对PHP代码进行分析,找出其中的潜在安全问题和漏洞。

    作用说明:

    1. 在CTF比赛中,通过对PHP代码进行审计,可以找到其中的MD5哈希值,从而解密出隐藏的敏感信息。
    2. 对于网站开发者来说,可以通过审计PHP代码,发现并修复潜在的安全问题,提高网站的安全性。

    代码示例:

    <?php
// 原始字符串
$str = "Hello, World!";

// 使用MD5函数计算哈希值
$md5_hash = md5($str);

// 输出哈希值
echo "MD5 hash of '{$str}' is: {$md5_hash}";
?>

    在这个示例中,我们首先定义了一个原始字符串$str,然后使用PHP内置的md5()函数计算其MD5哈希值,并将结果存储在变量$md5_hash中。最后,我们输出了原始字符串及其对应的MD5哈希值。

    评论

报告相同问题?

  • CTF-web 第三部分 代码审计
    2018-10-09 21:36
    iamsongyu的博客 实际上就是阅读有关的校验代码,人为构造特殊的输入或者参数才能拿到flag。需要了解一般的变量命名,判断语句和常用函数等,对于函数的执行流程还是很容易理解的,编程的关键点如下: 一些基本的语法含义 php编程...
  • php是世界上最好的语言 ctf+代码审计+加密函数绕过
    2022-02-26 11:47
    买Lemon也用劵的博客 还是直接审计代码吧 <?php show_source(__FILE__); @include_once 'flag.php'; //前端攻城狮跑路了,不过PHP是最好的语言 $a = $_GET['a']; $b = $_GET['b']; $good = false; if (sha1($a)===sha1($b)) { $...
  • Bugku-CTF-Web安全最佳刷题路线
    2025-06-07 21:19
    ailx10的博客 从简单的查看源代码、绕过前端限制等基础操作(难度1),到SQL注入、文件包含(难度3),再到XSS、反序列化等高级漏洞利用(难度4-5)。每道题目都标注了核心考察点,如Burp使用、PHP伪协议、Flask模板注入等,帮助...
  • CTF---MISC详解
    2023-11-03 14:17
    洛一方的博客 主要介绍在 CTF 比赛中一些常见的编码形式以及转换的技巧和常见方式 Forensic && Stego(数字取证 && 隐写分析) 隐写取证是 Misc 中最为重要的一块,包括文件分析、隐写、内存镜像分析和流量抓包分析等等, 涉及...
  • CTF-WEB
    2024-02-04 12:13
    Nosery的博客 1234 md5解码如下,但是登不进去admin 然后读内网IP,也没什么用 ]> &admin;1234 读apr文件,如下有个IP地址 然后利用HTTP协议请求一下,可以看到无回显,说明该IP没有web服务 再次查询arp文件,发现又有另一个IP,...
  • 2026 最新安全 Skill 合集(CTF / 审计 / 渗透 / 红队)威胁建模一网打尽
    2026-04-04 10:14
    Chengbei11的博客 本文介绍了7个核心安全Skill项目:渗透测试全流程的AgentSkillsHub、CTF解题技能库ctfskills、多语言代码审计工具codeaudit、PHP专项审计系统、Java自动化审计流水线、威胁建模工具threatmodeling以及覆盖30+领域的...
  • php代码审计归纳,PHP代码审计中的常见套路 检查相等时的漏洞
    2021-04-29 06:59
    weixin_39805529的博客 0x00 原文0x01 前言PHP是现在网站中最为常用的后端语言之一,是一种类型系统 动态、弱类型的面向对象式编程语言。可以嵌入HTML文本中,是目前最流行的web后端语言之一,并且可以和Web Server 如apache和nginx方便的...
  • PHP代码审计
    2021-03-29 19:25
    Silence@小橙的博客 审计思路 web安全重点就三个词——“输入”,“输出”,“数据流”。 1、逆向追踪/回溯变量—检查敏感函数的参数,判断参数可控?是否有过滤? 搜索响应的敏感关键字,定向挖掘,高效、高质量 2、正向追踪/跟踪...
  • CTF选手必看!easyphp题解中隐藏的3个PHP黑魔法技巧
    2025-08-04 08:26
    coffee的博客 本文以江苏工匠杯CTF赛题easyphp为例,深入剖析了PHP弱类型系统中三个易被忽视的“黑魔法”技巧:科学计数法突破数值比较限制、字符串与...这些技巧不仅是解题关键,更是实际PHP代码审计中需要重点关注的安全风险点。
  • 代码审计题目
    2022-12-12 17:11
    K.A.L的博客 【代码】代码审计题目。
  • 没有解决我的问题, 去提问

问题事件

  • 创建了问题 4月17日