经历了学校的校赛,一度自闭,被大佬们刺激的要奋发图强。
1、后台登录
链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php
打开题目首先查看源码,源码中注释部分有提示。
1 <!-- $password=$_POST[‘password‘]; 2 $sql = "SELECT * FROM admin WHERE username = ‘admin‘ and password = ‘".md5($password,true)."‘"; 3 $result=mysqli_query($link,$sql); 4 if(mysqli_num_rows($result)>0){ 5 echo ‘flag is :‘.$flag; 6 } 7 else{ 8 echo ‘密码错误!‘; 9 } -->
这个题目时通过mysqli_num_rows 来判断sql查询是否有结果。
sql查询的语句是$sql = "SELECT * FROM admin WHERE username = ‘admin‘ and password = ‘".md5($password,true)."‘";
这个语句中唯一可以注入的地方就是md5($password,true)
我们先要了解一下MD5这一个函数
md5(string,raw)
参数 | 描述 |
---|---|
string | 必需。规定要计算的字符串。 |
raw |
可选。规定十六进制或二进制输出格式:
|
当raw为ture的时候将其转换成十六字符的二进制,如果输出的结果可以为‘or’xxxx 其中xxx为比0大的单个数字或者是一个带引号的比零大的字符串即可。
因为在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。当然在我后来测试中发现,不只是1开头,只要是数字开头都是可以的。 当然如果只有数字的话,就不需要单引号,比如password=‘xxx’ or 1,那么返回值也是true。(xxx指代任意字符)
通过查询我们发现ffifdyop满足需求 提交之得到flag
当然还有很多的数组满足注入的需求 但是通常情况下计算量会相对较大。
给出几个payload 129581926211651571912466741651878684928
ffifdyop
原文地址:https://www.cnblogs.com/hagendasi/p/10509696.html