实验吧ctf题解之程序逻辑问题.doc

《实验吧ctf题解之程序逻辑问题.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、程序逻辑问题题目提示是绕过伪代码if($_POST[user] && $_POST[pass]) {   。。。。} $user = $_POST[user];$pass = md5($_POST[pass]);$sql = "select pw from php where user='$user'";$query = mysql_query($sql);if (!$query) {    exit();}$row = mysql_fetch_array($query, MYSQL_ASSOC);//echo

2、 $row["pw"]; if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {    echo "

Logged in! Key:************** 

3、等即可而$pass经过md5之后的值是我们可以通过正常输入控制的同时，row[pw]的值是从$sql提取出来的目标就一句话：只要我们能够修改$sql的值，此题解决。再次审视注入点：$sql="selectpwfromphpwhereuser='$user'";在这里我们可以利用sql语句，直接给$sql返回一个值。也就是说，不需要访问题里的数据库，只要我们修改了$sql的值，此题解决剩下的就是猜用户名了，试了试admin，不对，然后又试了试username成了user框输入username'AND0=1UNIO

4、NSELECT"c4ca4238a0bdcc509a6f75849b"#·最前面的单引号：闭合原文的whereuser='·AND0=1:为了使前面的表达式返回值为空从而使selectpwfromphpwhereuser=''AND0=1这句话完全没用·接着我们使用UNIONSELECT"c4ca4238a0bdcc509a6f75849b"，直接把MD5值作为返回值retuen给$sql，这样在查询的时候$query就会有值·c4ca4238a0bdcc509a6f75849b这串MD5值是数字1经过MD5h

5、ash之后的结果，可以直接用MD5(1)代替·最后的#用来注释掉后面没用的东西·最终，将'AND0=1UNIONSELECT"c4ca4238a0bdcc509a6f75849b"#附加输入到user框里，将数字1输入到pass框里，登录成功。或者username:username'unionselectmd5(1)#password:1key：SimCTF{youhaocongming}