[GXYCTF2019]BabySQli

[GXYCTF2019]BabySQli

原题目为：

刚学完sqli，我才知道万能口令这么危险，还好我进行了防护，还用md5哈希了密码！

登录框输入抓包，用户名输入admin，密码输入admin

 

 返回包里面有一串加密字符串，使用base32+base64进行解密得到

?

1	select * from user where username = '$name'

　　题目描述里面将密码进行了md5加密，所以可以猜测后端的代码是：

?

1 2 3 4 5 6 7 8 9 10

<?php     if($row['username']==’admin’){         if($row['password']==md5($pass)){             echo $flag;         }else{             echo “wrong pass!”;         }     }     else{ echo “wrong user!”;} ?>

　　union select 联合查询可知有三个字段

 

 

 

 被禁掉了部分关键字。

这里考核的一个知识点是：

当查询的数据不存在的时候，联合查询就会构造一个虚拟的数据。

本地搭建环境测试一下

 

 在test数据库里面添加test表，里面三个字段分别是id,username,password，而test表里面只有一条数据，即admin,admin

我们使用联合查询查询用户名为admin,密码为aaaaaaaaaaaaa的用户

 

 发现我们在联合查询并不存在的数据时，联合查询就会构造一个虚拟的数据

所以我们在这里进行绕过，即输入admin，密码设置为123456，将123456MD5加密后放进union select 查询中

也就是当name代入查询查询时，在MySQL里面就会生成用户名为admin，密码为123456 MD5加密后的虚拟的数据，同时我们用123456密码进行登录，就能够绕过限制。

最后的payload为：

?

1 2	username栏：' union select 1,"admin","e10adc3949ba59abbe56e057f20f883e";# password栏：123456

　　

 

 拿到flag

 

参考博客：

https://www.jianshu.com/p/034cfa61a305

https://www.cnblogs.com/wangtanzhi/p/12292414.html

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/12604647.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！