刷题[GXYCTF2019]BabySQli
解题思路
只有一个登陆框,查看源码,链接到search.php后发现注释中有这样一段内容
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
base64,md5都不对,尝试一下,base32,解码发现是base64,再解码
select * from user where username = '$name'
fuzz
fuzz一下看禁了什么
order,等于号,or,括号都被禁了。
告诉是数字型的,先猜字段,4回显错误,3正确,证明字段是三,一般的话,就是id,username,password了
这里没思路了,buu给了源码,看下源码
代码审计
<?php
require "config.php";
require "flag.php";
// 去除转义
if (get_magic_quotes_gpc()) {
function stripslashes_deep($value)
{
$value = is_array($value) ?
array_map('stripslashes_deep', $value) :
stripslashes($value);
return $value;
}
$_POST = array_map('stripslashes_deep', $_POST);
$_GET = array_map('stripslashes_deep', $_GET);
$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
$_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}
mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);
if(preg_match("/\(|\)|\=|or/", $name)){
die("do not hack me!");
}
else{
if (!$result) {
printf("Error: %s\n", mysqli_error($con));
exit();
}
else{
// echo '<pre>';
$arr = mysqli_fetch_row($result);
// print_r($arr);
if($arr[1] == "admin"){
if(md5($password) == $arr[2]){
echo $flag;
}
else{
die("wrong pass!");
}
}
else{
die("wrong user!");
}
}
}
?>
其中这一句
if($arr[1] == "admin"){
if(md5($password) == $arr[2]){
echo $flag;
如果以admin登陆成功即获得flag。
登陆
好歹自己也学了数据库课,听了。确实是有这么个东西,想到联合查询数据库时,如果查询没有此数据则会创建新数据,我们这里尝试创建admin
0' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'#
这里密码是md5的123456
密码处即是123456,登陆成功,获得flag
总结思路
一般的联合注入,通过联合注入登陆成功
知识点
- sql注入