一、靶场:ctfshow web9
二、解题步骤
步骤一:打开靶场,发现依然是一个登录页面,猜测存在sql注入,试着做了一下,可是都没有回显,不知道是啥问题。或许是过滤了?还是怎么样。反正就是回显不了。
步骤二:那么就扫描一下网站目录,可以用dirb,gobuster,dirsearch
这里使用dirsearch,命令:python dirsearch.py -u http://xxxx -e php //扫描带php的后缀的文件
扫描结果中有一个robots.phps的文件,查看一下
注解:robots.txt是一个文本文件,同时也是一个协议,规定了爬虫访问的规则( 哪些文件可以爬取,哪些文件不可以爬取)
步骤三:访问该路径,结果直接下载下来了,查看内容后可以确定是源码泄露,分析源码后得到以下信息:
1、密码长度不能大于10;
2、用户名为admin;
3、密码是利用md5加密后的结果,语法:md5(string,raw)
那么就需要求将密码转换成16进制的hex值以后,再将其转换成字符串后包含'or'xxxx
这样,条件就成了username ='admin' and password =''or 'xxxxx'。对语句进行了闭合,其实就是拼接成了万能密码,md5原文为ffifdyop。
注解:
| 参数 | 描述 |
|---|---|
| string | 必需。规定要计算的字符串。 |
| raw | 可选。规定: TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数 |
$password=$_POST['password'];
if(strlen($password)>10){
die("password error");
}
$sql="select * from user where username ='admin' and password ='".md5($password,true)."'";
$result=mysqli_query($con,$sql);
if(mysqli_num_rows($result)>0){
while($row=mysqli_fetch_assoc($result)){
echo "登陆成功<br>";
echo $flag;
}
}
?>
步骤四:按前面得到的信息成功登录,拿到flag
用户名:admin
密码:ffifdyop
解析:关于sql中md5的万能密码解析:
- content: ffifdyop
- hex: 276f722736c95d99e921722cf9ed621c
- raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
- string: 'or'6]!r,b
在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。当然在我后来测试中发现,不只是1开头,只要是数字开头都是可以的。
ffifdyop的原始二进制字段中含有'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c,恰构成了SQL注入漏洞,password=‘xxx’ or 1,那么返回值也是true。(xxx指代任意字符)