-
0831 [wargame] md5_compare2020/Write-Ups 2020. 8. 31. 17:07
수요일 황유림
value끼리 단순 비교하면 되나보다. start!
이런 창이떠서
같은 문자열을 입력한 후 chk 버튼을 눌렀더니 Wrong...이라는 문자가 생겼다.
이제 소스를 확인해봐야겠다. view-source를 클릭하면
v1값은 알파벳, v2값은 숫자여야한다.
그리고 v1값과 v2값을 md5 해시했을 떄 해시값이 같아야 하는 코드다.
이게 가능....????
나와 같은 생각을 가진 사람이 있었다^^
해시가 충돌할 경우 그럴 수 있다는데, 가능성이 매우 낮단다.
여기저기, 이것저것 찾아보다가 magic hash라는 것을 찾았다.
https://www.whitehatsec.com/blog/magic-hashes/
Magic Hashes | WhiteHat Security
For more than the last decade, PHP programmers have been wrestling with the equals-equals (==) operator.
www.whitehatsec.com
해쉬값의 앞 두자리가 0e로 시작되고 그 뒤에 문자가 모두 숫자면 0으로 처리되어
다른 문자와 ==비교했을 때 참으로 처리된다.
해쉬값이 0e로 시작되는 문자열을 찾았다.
https://stackoverflow.com/questions/22140204/why-md5240610708-is-equal-to-md5qnkcdzo
Why md5('240610708') is equal to md5('QNKCDZO')?
var_dump(md5('240610708') == md5('QNKCDZO')); Output: bool(true) Example: http://3v4l.org/2vrMi
stackoverflow.com
===엄격 비교하면 false값이 나오는 것도 알게됐다.
성공
'2020 > Write-Ups' 카테고리의 다른 글
0831 [CTF-d] Multimedia_저는 이 파일이 내 친구와... (0) 2020.08.31 0831 [CTF-d] Multimedia_천 마디 말보다 사진 한 장... (0) 2020.08.31 0831 Network #2-DefCoN#21 #2 (0) 2020.08.31 0831 Network #5-DefCoN#21 #5 (0) 2020.08.31 0831 [ctf-d] 조수의 차이만큼 하얗습니다! :D (0) 2020.08.31