访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入,XSS等相关知识。涉及方向较多。此题主要涉及源码审计,MySQL相关的知识。
flag格式 CTF{}
解题链接: http://ctf5.shiyanbar.com/web/pcat/index.php
1.查看源代码
2.打开链接http://ctf5.shiyanbar.com/web/pcat/source.txt,出现PHP代码
可以得知数据库中的记录就只有一条,这部分逻辑大概就是通过提交的uname查询出结果,如果结果只有一条则继续,如果查询结果中的pwd字段和post过去的key值相同,则给出flag。
这时就要用到注入的一个小技巧,我们使用group by pwd with rollup 来在查询结果后加一行,并且这一行pwd字段的值为NULL
在mysql官方文档中是这样描述rollup函数的:
在GROUP BY子句中使用WITH ROLLUP会在数据库中加入一行用来计算总数。
再结合limit和offset就可以写出一个payload
即:输入的用户名为:' or 1=1 group by pwd with rollup limit 1 offset 2 #
#注释
SELECT * FROM interest where uname=' ' or 1=1
group by pwd with rollup (在数据库中添加一行使得pwd=NULL)
limit 1 (只查询一行)
offset 2 (从第二行开始查询)
注意三点:《1》,关键字被过滤;《2》,单行输出,所以用limit,因为逗号被过滤,所以不用limit 0,1检验行数,在这里等同于 limit 1 offset 0,检验发现只有两行:1' or 1 limit 1 offset 1# 。《3》使pwd为空,有数据的情况下怎么搞出一条空的数据?---那就伪造一条:group by with rollup 是把所有信息在最下面整合汇总一条的功能,并且可指定字段汇总为空!!所以执行:1' or 1=1 group by pwd with rollup limit 1 offset 2# 即可得到flag
此时密码只要为空即可查询成功
