题目:
可以从题中分析出用户名为admin和密码为admins,尝试传入两参数,发现限制了admin登录
分析源码
function check_username($str){
if(preg_match("/^admin$/i",$str)){
return 1;
}
for($i=195;$i<240;$i++){
if(preg_match("/".chr($i)."/i",$str)){
return 1;
}
}
return 0;
}
这里需要注意:for循环部分,是为了限制通过mysql的Latin编码绕过
Latin1的字符编码:https://www.shuzhiduo.com/A/ZOJP1RbE5v/
默认情况下,Mysql的字符集就是latin1
因为该题目中,将mysql的编码方式设置成了utf-8
在MySQL中是使用 set names utf8
的结果如下
这就造成了客户端和服务器端的字符集出现了差别,经过资料查找,发现
- MySQL Server收到请求时将请求数据从character_set_client转换为character_set_connection;
- 进行内部操作前将请求数据从character_set_connection转换为内部操作字符集
那么在本题中,character_set_client以及character_set_connection都被设置成了utf-8,而内部操作字符集还是默认的Latin1
那么这里的username就存在一个问题:怎么通过utf-8的方式,绕过正则匹配以及如何让Latin识别输入为admin?
这里可以参考:MySQL字符集编码利用技巧:https://www.leavesongs.com/PENETRATION/mysql-charset-trick.html
利用不完整的utf-8编码,使Latin不识别后丢弃,例如:
- \x00~\x7F: 返回空白结果
- \x80~\xC1: 返回错误Illegal mix of collations
- \xC2~\xEF: 返回admin的结果
- \xF0~\xFF: 返回错误Illegal mix of collations
综上,username可以写成admin%c2
来绕过
那么password的绕过就比较简单了,源码:
function check_password($str){
if(preg_match("/admins/i",$str)){
return 1;
}
return 0;
}
利用Latin编码绕过正则匹配,可以写为àdmins
这里有一点要注意:当写成ådmins
是不能用的,原因未知
综上,构造?username=admin%c2&password=àdmins
成功获取flag