实验吧ctf题库web题wp

  经历了学校的校赛,一度自闭,被大佬们刺激的要奋发图强。

  1、后台登录 

   链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php

   打开题目首先查看源码,源码中注释部分有提示。

   

1 <!-- $password=$_POST['password'];
2     $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
3     $result=mysqli_query($link,$sql);
4         if(mysqli_num_rows($result)>0){
5             echo 'flag is :'.$flag;
6         }
7         else{
8             echo '密码错误!';
9         } -->

这个题目时通过mysqli_num_rows 来判断sql查询是否有结果。  

sql查询的语句是$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";    

这个语句中唯一可以注入的地方就是md5($password,true)  

我们先要了解一下MD5这一个函数

md5(string,raw)
参数描述
string 必需。规定要计算的字符串。
raw

可选。规定十六进制或二进制输出格式:

  • TRUE - 原始 16 字符二进制格式
  • FALSE - 默认。32 字符十六进制数

当raw为ture的时候将其转换成十六字符的二进制,如果输出的结果可以为'or’xxxx 其中xxx为比0大的单个数字或者是一个带引号的比零大的字符串即可。

  因为在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1  ,也就相当于password=‘xxx’ or true,所以返回值就是true。当然在我后来测试中发现,不只是1开头,只要是数字开头都是可以的。 当然如果只有数字的话,就不需要单引号,比如password=‘xxx’ or 1,那么返回值也是true。(xxx指代任意字符)

通过查询我们发现ffifdyop满足需求  提交之得到flag

当然还有很多的数组满足注入的需求 但是通常情况下计算量会相对较大。

给出几个payload 

129581926211651571912466741651878684928

ffifdyop

posted @ 2019-03-11 11:48  初学者哈根达斯  阅读(...)  评论(... 编辑 收藏