打开环境是一个登录页面
先随便尝试一下admin admin
跳转到了check
到了这里试了试有没有过滤单引号
发现没有过滤
但是太久没有做web的题目,下面就没有思路了
看了wp,看到这里是用了sql的万能密码
万能密码的原理就是
在登陆时,网站需要查询数据库。查询数据库就是执行SQL语句。
用户登录时,后台执行的数据库查询操作(SQL语句)是:
【Select user_id,user_type,email From users Where user_id=’用户名’ And password=’密码’】。
由于网站后台在进行数据库查询的时候没有对单引号进行过滤,当输入用户名【admin】和万能密码【2’or’1】时,执行的SQL语句为:
【Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’or’1’】。
由于SQL语句中逻辑运算符具有优先级,【=】优先于【and】,【and】优先于【or】,且适用传递性。因此,此SQL语句在后台解析时,分成两句:
【Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’】和【’1’】,两句bool值进行逻辑or运算,恒为TRUE。
SQL语句的查询结果为TRUE,就意味着认证成功,也可以登录到系统中。
输入用户名【admin】,密码【2’or’1】,即可登录成功
自己梳理了一下发现就是后台数据库没有对单引号进行过滤,通过输入万能密码2’or’1和后台执行的sql语句进行闭合,而and的优先性大于or,从而把后台执行的sql语句分成了2句,后台就会先执行这一句Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’
然后在和’1’进行or运算,使查询的结果为真,从而登陆成功
那么就用万能密码进行登录
但是不对
万能密码也有很多
换一个再试试 admin' or 1=1 %23
得到flag
2455
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
