-
Wargame.kr md5 compareWebHacking/Wargame.kr 2018. 2. 25. 06:23
웹 문제 처음부터 푼것들 전부 다 Write up을 올리는 것 보다 나한테 도움이 된 것들 위주로 Write up을 올리는게 좋다고 생각해서 md5_compare문제를 시작으로 Write up을 쓸려고한다.
md5_compare
500point / bughelaJUST COMPARE ONLY.
with the other value :Dmd5와 관련된 문제다.
123456789101112131415161718192021222324252627282930313233<?phpif (isset($_GET['view-source'])) {show_source(__FILE__);exit();}if (isset($_GET['v1']) && isset($_GET['v2'])) {sleep(3); // anti brute force$chk = true;$v1 = $_GET['v1'];$v2 = $_GET['v2'];if (!ctype_alpha($v1)) {$chk = false;}if (!is_numeric($v2) ) {$chk = false;}if (md5($v1) != md5($v2)) {$chk = false;}if ($chk){include("../lib.php");echo "Congratulations! FLAG is : ".auth_code("md5_compare");} else {echo "Wrong...";}}?><br /><form method="GET">VALUE 1 : <input type="text" name="v1" /><br />VALUE 2 : <input type="text" name="v2" /><br /><input type="submit" value="chk" /></form><br /><a href="?view-source">view-source</a>cs md5와 해킹과 연관 시켜서 생각을 해보면 md5 해쉬충돌이 먼저 생각이 난다.
https://stackoverflow.com/questions/22140204/why-md5240610708-is-equal-to-md5qnkcdzo
위 사이트가 이번 문제 모든 것 을 설명해 주고 있다..
== 으로 비교를 하면 type는 고려하지 않고 비교하기 때문에 최대한 쓰지 않는 것이 좋다.
'WebHacking > Wargame.kr' 카테고리의 다른 글
Wargame.kr SimpleBoard (0) 2018.02.26 Wargame.kr tmitter (0) 2018.02.25 Wargame.kr type confusion (0) 2018.02.25 Wargame.kr strcmp (0) 2018.02.25 Wargame.kr md5 password (0) 2018.02.25