BUUCTF BabySQli 1 通关实录：从Base32到MD5的“套娃”解密与联合注入实战

BUUCTF BabySQli 1 通关实录：从Base32到MD5的“套娃”解密与联合注入实战

第一次接触BUUCTF的BabySQli题目时，那种层层剥茧的解密过程让我印象深刻。这道题完美融合了编码转换、SQL注入和MD5校验三大Web安全核心技能点，特别适合刚入门CTF的新手作为实战演练。下面我将用最直白的语言，带你完整复现整个解题过程，包括我踩过的坑和最终突破的关键思路。

1. 初探题目环境与编码分析

启动Burp Suite抓包工具，随便输入用户名和密码提交后，在Repeater模块观察响应数据。敏锐的你会发现在HTML注释里藏着一串可疑字符：

MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5

这串字符有几个明显特征：

• 全大写字母与数字组合
• 长度恰好是5的倍数（Base32编码的特征）
• 结尾没有等号填充（可能被处理过）

编码识别技巧：

• Base32：字母仅包含A-Z和2-7的数字
• Base64：包含大小写字母、数字和+/符号
• Hex：仅包含0-9和A-F

用CyberChef工具进行Base32解码，得到：

c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==

看到结尾的双等号，基本可以确定这是Base64编码。继续解码后豁然开朗：

select * from user where username = '$name'

2. SQL注入类型判断与字段探测

通过分析SQL语句，可以确定注入点是name参数。测试注入类型时：

绕过过滤的技巧：

• 尝试用/**/代替空格
• 使用||替代or
• 测试like代替=

通过联合查询确定字段数：

1' union select 1,2,3#

成功返回说明存在3个字段。

3. 用户定位与密码校验机制分析

在search.php源码中发现关键验证逻辑：

if($arr[1] == "admin"){ if(md5($password) == $arr[2]){ echo $flag; } }

由此可知：

1. 用户表结构可能是：id, username, password
2. 管理员用户名为admin
3. 密码采用MD5存储校验

MD5比较漏洞：

• PHP弱类型比较（==）会导致0e开头的哈希值被识别为0
• 已知的魔术哈希：240610708->0e462097431906509019562988736854

4. 构造终极Payload获取flag

结合所有信息，最终构造的注入语句为：

1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e'#

其中：

• e10adc...是123456的MD5值
• 密码框输入123456完成校验匹配

执行后成功获取flag：

flag{3c7be44e-df35-40a7-bd91-1b210bf75fcb}

整个解题过程中最关键的转折点在于发现源码中的MD5弱比较漏洞。这种将编码分析、SQL注入和加密算法结合的出题方式，在CTF中非常经典。建议新手可以尝试用不同魔术哈希（如QNKCDZO的MD5）来加深理解。