2403_88003384的博客

query=-1/**/union/**/select/**/load_file('/var/www/html/secret.php'),load_file是mysql里面用来读取文件的一个函数。发现没有直接回显，再次查看源代码。代码审计一下发现，有些case里面没有break，这里有两个输出一个是字符串，另一个是变量，这里肯定想让它输出变量，于是?正常的union注入就过滤了空格，空格可以用/**/代替绕过,其它的可以用反引号绕过，反引号在sql语句里面的作用是标识，但这里可以用来绕过，注到最后发现。

打开发现账号的内容恒为admin，查看页面源代码发现原来是内容被设定了。改了前端的代码，尝试万能密码发现无果。由于不知道sql语句是怎样的我们尝试进行一下目录的信息收集（目录扫描dirsearch工具），但是我一般会先手动尝试一下几个常见的目录（robots.txt:君子协议，index.phps:页面源码，www.zip和index.php.bak:备份文件）。本博客为本人的做题记录，如果有不对的地方欢迎师傅们指正。总结一下就是：寻找源码，md5函数的利用。这会被认为是true。

result是查询的结果，mysqli_num_rows($result)>0这个表示查询结果的行数大于0，mysqli_fetch_assoc($result)，就是将查询结果每一行依次取出来变成关联数组，即$row，这也就是为什么后面可以用$row['password']这个的原因，因为它变成数组了。答案是可以的，payload:username=admin'/**/or/**/1=1/**/group/**/by/**/password/**/with/**/rollup#&password=