zoukankan      html  css  js  c++  java

  • ffifdyop——绕过中一个奇妙的字符串

    根据师傅们的博客总结如下:

    ffifdyop

    经过md5加密后:276f722736c95d99e921722cf9ed621c

    再转换为字符串:'or'6<乱码>  即  'or'66�]��!r,��b

    用途:

    select * from admin where password=''or'6<乱码>'

    就相当于select * from admin where password=''or 1  实现sql注入

    题目:实验吧——md5绕过

    链接:http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php

     1、查看网页源代码 发现提示

    $password=$_POST['password'];
$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
$result=mysqli_query($link,$sql);
        if(mysqli_num_rows($result)>0){
            echo 'flag is :'.$flag;
        }
        else{
            echo '密码错误!';
        }

    解释一下md5这个函数:md5(string,raw)

    md5(string,raw)
    参数描述
    string 必需。规定要计算的字符串。
    raw

    可选。规定十六进制或二进制输出格式:

    • TRUE - 原始 16 字符二进制格式
    • FALSE - 默认。32 字符十六进制数

    不光有ffifdyop 还有 129581926211651571912466741651878684928 也可达同样的效果

    总之,相当于 select * from admin where password=''or ture

    参考博客:https://blog.csdn.net/March97/article/details/81222922
  • 相关阅读:
    linux ipsec
    inotify+rsync
    多实例tomcat
    Http和Nginx反代至Tomcat(LNMT、LAMT)
    cisco ipsec
    ansible基础
    Qt 汉字乱码
    Model/View
    面对焦虑
    QT中QWidget、QDialog及QMainWindow的区别
  • 原文地址:https://www.cnblogs.com/tqing/p/11852990.html
Copyright © 2011-2022 走看看