因缺思汀的绕过
打开源代码,发现一个提示,又是代码审计。
<?php
error_reporting(0);
if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
echo '<form action="" method="post">'."<br/>";
echo '<input name="uname" type="text"/>'."<br/>";
echo '<input name="pwd" type="text"/>'."<br/>";
echo '<input type="submit" />'."<br/>";
echo '</form>'."<br/>";
echo '<!--source: source.txt-->'."<br/>";
die;
}
function AttackFilter($StrKey,$StrValue,$ArrReq){
if (is_array($StrValue)){
$StrValue=implode($StrValue);
}
if (preg_match("/".$ArrReq."/is",$StrValue)==1){
print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";
exit();
}
}
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){
AttackFilter($key,$value,$filter);
}
$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql);
if (mysql_num_rows($query) == 1) {
$key = mysql_fetch_array($query);
if($key['pwd'] == $_POST['pwd']) {
print "CTF{XXXXXX}";
}else{
print "浜﹀彲璧涜墖锛�";
}
}else{
print "涓€棰楄禌鑹囷紒";
}
mysql_close($con);
?>
大致意识就是让我们传递unam和pwd,如果uname存在,并且它在数据库对应的pwd和你传入的pwd一样,就可以登陆。并且对传入的数据进行了一定的过滤,这些东西,统统不行
and|select|from|where|union|join|sleep|benchmark|,|(|)
这里需要将一个知识点,group by 字段 with rollup limit 1 offset 2#;group by 字段with rollup 可以在该字段查询的最后加上一个NULL,
让后通过limit 1 offset 2来选着这个值。原因:我这里执行group by password后,是只有一个数据,所以是limit 1,1(选取第二条)。而题中是group by pwd后,是有两个数据,所以是limit 2,1,但“,”被过滤了,所以是offset。就相当于把第三条数据给取了出来,也就是通过group by pwd with rollup limit 1 offset 2来获得的数据,而这个数据就是NULL,并把它给了pws,让后我们在输入界面对password不加任何值,就可以通过了。