文章总结： 该文档分享了TryHackMe和CTF靶场中两道关于哈希碰撞的解题经验。第一题通过使用fastcoll工具生成两个MD5值相同的文件并依次上传，成功获取FLAG。第二题利用PHP弱类型比较特性，使用MD5值以0e开头的字符串进行碰撞，同样获得FLAG。文档提供了具体的工具使用步骤和碰撞原理说明。 综合评分： 78 文章分类： CTF,WEB安全

TryHackMe第278天：两道哈希碰撞

原创

青青青青 青青青青

秦小信

2026年2月17日 23:51 陕西

最近做了两个有关哈希的题目。一个是今天做的TryHackMe的When Hearts Collide。地址如下：https://tryhackme.com/room/lafb2026e1      

题目是要求传一张图片和示例图片MD5值一致。

下载示例图再上传提示已经存在。

因为制作一样MD5的图片有点困难，发现其实只要依次上传MD5值一样的两个文件即可。推荐一个github项目：https://github.com/upbit/clone-fastcoll

第一步：制作文件：

./fastcoll coll        Generating first block: .Generating second block: W............................use 'md5sum md5_data*' check MD5

第二步：检验MD5值：

md5sum md5_data*7678e75302764ed95d89d0d29c1dfe92  md5_data17678e75302764ed95d89d0d29c1dfe92  md5_data2

将文件依次上传：

得到FLAG。

另一个是我们CTF联系靶场中的一道“双胞胎的密码”

两个hash值一样的字符串

TEXTCOLLBYfGiJUETHQ4hAcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak

TEXTCOLLBYfGiJUETHQ4hEcKSMd5zYpgqf1YRDhkmxHkhPWptrkoyz28wnI9V0aHeAuaKnak

也可以用PHP 弱类型碰撞 (0e == 0e)

如果题目环境是 PHP 且使用了 == (弱比较)，你也可以使用以下简短的字符串：

• 字符串 A: QNKCDZO (MD5: 0e830400… )

• 字符串 B: 240610708 (MD5: 0e462097… )

都可获取到FLAG

以上。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：秦小信 青青青青 青青青青《TryHackMe第278天：两道哈希碰撞》