登陆地址：http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php

直接没有登陆，右键查看源代码发现问题：

[code]	<!-- $password=$_POST['password'];
$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
$result=mysqli_query($link,$sql);
if(mysqli_num_rows($result)>0){
echo 'flag is :'.$flag;
}
else{
echo '密码错误!';
} -->

可以看到sql语句，由于$password在md5方法之内，所以不存在sql注入。

但是有一处不一样的地方：

[code]md5($password,true)

这里给md5方法加了第二个参数，ture，查看php说明：

定义和用法

md5() 函数计算字符串的 MD5 散列。

md5() 函数使用 RSA 数据安全，包括 MD5 报文摘要算法。

来自 RFC 1321 的解释 - MD5 报文摘要算法：MD5 报文摘要算法将任意长度的信息作为输入值，并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值，并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的；在这个数字签名应用程序中，较大的文件将在加密（这里的加密过程是通过在一个密码系统下[如：RSA]的公开密钥下设置私有密钥而完成的）之前以一种安全的方式进行压缩。

语法

[code]md5(string,raw)

技术细节

      通过文档可以看到，md5方法有第二个可选参数，当第二个参数为ture时，返回原始16字符二进制格式

何为原始16字符二进制格式？

本地建立一个php文件，查看返回结果

[code]<?php

echo md5("123456",true);

?>

 输出结果：

好像是一堆乱码，去掉true参数

这里大胆预测，是不是md5参数为true时，返回二进制序列，然后通过转hex，得到ASCII码？

[code]<?php
echo hex2bin(md5("123456"));
echo "<br>";
echo md5("123456",true);

?>

输出结果为：

验证猜测正确，我们接着来看，如何才能登陆后台

sql语句为：

$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";

要登陆成功，上面这个查询必须不能为空，突破点肯定在md5($password,true)

那么我们要让md5($password,true) 编码后 二进制转字符串为  'or 'xxx

这样sql 为    and password=''or'xx'   ''or'xx'=true    这样查询结果为真

那怎么才能拿到md5('key',true)为真的呢？

需要生成md5('key',true)二进制序列化为'or'开头的即可

笔者网上搜集了3个，可做参考：

e58  

 ffifdyop  

 129581926211651571912466741651878684928

flag is :flag{ffifdyop_has_trash}

启示：

要利用md5注入，必须满足三个条件

1.sql使用select * from user where username='xx' and password='xx',类似使用可利用万能密码的变种sql

2.md5第二个参数为true

3.用户名在表中可查到