ctfshow web 10
打开题目长这样,点击取消会自动下载indexs.php文件,打开查看源码
<?php$flag="";function replaceSpecialChar($strParam){$regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";return preg_replace($regex,"",$strParam);}if (!$con){die('Could not connect: ' . mysqli_error());}if(strlen($username)!=strlen(replaceSpecialChar($username))){die("sql inject error");}if(strlen($password)!=strlen(replaceSpecialChar($password))){die("sql inject error");}$sql="select * from user where username = '$username'";$result=mysqli_query($con,$sql);if(mysqli_num_rows($result)>0){while($row=mysqli_fetch_assoc($result)){if($password==$row['password']){echo "登陆成功<br>";echo $flag;}}}?>
$regex 告诉了我们一些sql查询过滤的一些语句,正常情况下来说我们会使用双写来绕过,但是
if(strlen($username)!=strlen(replaceSpecialChar($username))){die("sql inject error");}if(strlen($password)!=strlen(replaceSpecialChar($password))){die("sql inject error");}
这两个if语句会限制你用双写绕过,会比较长度和内容,这你不就炸杠了吗
源码中先根据用户名查询用户信息, 用户名通过以后, 再判断密码是否相同, 我们绕过用户名的过滤条件, 在使用 with rollup注入绕过密码
这边查了网上大佬的wp发现mysql里面有个with rollup函数绕过
with rollup 可以对 group by 分组结果再次进行分组,并在最后添加一行数据用于展示结果( 对group by未指定的字段进行求和汇总, 而group by指定的分组字段则用null占位
这里我们利用 admin'/**/or/**/1=1(这道题试了一下貌似还是有空格过滤,太无聊了)保证前面的username查询为真,使其成功查询username,接下来就会password是否和username匹配,我们就先使用group by函数将password分组,由于with rollup不会对password
