当前位置:网站首页>CTF show WEB10

CTF show WEB10

2022-06-21 08:00:00 旋风1+1

题目地址:https://ctf.show

打开页面点击取消按钮,出现源码。
$regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
从源码中可以得知几乎把注入用到的关键词过滤的差不多了。
如果只有这一条现在可以采用双写绕过,但是下面这条限制,使得无法双写绕过

if(strlen($username)!=strlen(replaceSpecialChar($username))){
			die("sql inject error");
		}

 

这里介绍两个mysql语句
①group by(将结果集中的数据行根据选择列的值进行逻辑分组)
不加group by时的输出如下:
在这里插入图片描述
在使用group by以后会按照password中的值进行排列:
在这里插入图片描述
②with rollup (group by 后可以跟with rollup,表示在进行分组统计的基础上再次进行汇总统计)
来看实例:
在这里插入图片描述结果中将会多出一行,其中password列为null,count(*)为统计和。

个人理解为:并不会对分组的字段进行求和,而是在下面显示为null。
这里我们就可以通过骚姿势绕过了。
其中/**/是为了绕过空格过滤
payload:username=admin'/**/or/**/1=1/**/group/**/by/**/password/**/with/**/rollup#&password=
因为加入with rollup后 password有一行为NULL,我们只要输入空密码使得(NULL==NULL)即可满足$password==$row['password']的限制成功登陆。
登录成功即可显示flag。

原网站

版权声明
本文为[旋风1+1]所创,转载请带上原文链接,感谢
https://blog.csdn.net/Hello_super/article/details/108404233

边栏推荐

猜你喜欢

随机推荐