经历了学校的校赛,一度自闭,被大佬们刺激的要奋发图强。
1、后台登录
链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php
打开题目首先查看源码,源码中注释部分有提示。
1
这个题目时通过mysqli_num_rows 来判断sql查询是否有结果。
sql查询的语句是$sql = "SELECT * FROM admin WHERE username = ‘admin‘ and password = ‘".md5($password,true)."‘";
这个语句中唯一可以注入的地方就是md5($password,true)
我们先要了解一下MD5这一个函数
md5(string,raw)
参数
描述
string
必需。规定要计算的字符串。
raw
可选。规定十六进制或二进制输出格式:
TRUE - 原始 16 字符二进制格式
FALSE - 默认。32 字符十六进制数
当raw为ture的时候将其转换成十六字符的二进制,如果输出的结果可以为‘or’xxxx 其中xxx为比0大的单个数字或者是一个带引号的比零大的字符串即可。
因为在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。当然在我后来测试中发现,不只是1开头,只要是数字开头都是可以的。 当然如果只有数字的话,就不需要单引号,比如password=‘xxx’ or 1,那么返回值也是true。(xxx指代任意字符)
通过查询我们发现ffifdyop满足需求 提交之得到flag
当然还有很多的数组满足注入的需求 但是通常情况下计算量会相对较大。
给出几个payload 129581926211651571912466741651878684928
ffifdyop