CTF---Web入门第六题 因缺思汀的绕过

因缺思汀的绕过度值：20

• 来源： pcat
• 难度：中
• 参与人数：6479人
• Get Flag：2002人
• 答题人数：2197人
• 解题经过率：91%

访问解题连接去访问题目,能够进行答题。根据web题通常解题思路去解答此题。看源码，请求，响应等。提交与题目要求一致的内容便可返回flag。而后提交正确的flag便可得分。web题主要考察SQL注入，XSS等相关知识。涉及方向较多。此题主要涉及源码审计，MySQL相关的知识。

flag格式 CTF{}

解题连接： http://ctf5.shiyanbar.com/web/pcat/index.php

原题连接：http://www.shiyanbar.com/ctf/1940

【解题报告】

　　这是我入门Web开始写的第六道题，咱们点开解题连接，发现页面很简洁，咱们首先第一步仍是先看页面的源码，也很简单，总共一行，可是这一行有一点让我好奇，多了一个source.txt的注释，说不定这个source.txt有猫腻，先本身想一想看，本机可能不存在这个文件，咱们经过浏览器访问，将后缀名改为source.txt访问试试！哎，还真的是，页面的完整源码原来在这里！

我们来对这段代码进行审计

这一部分颇有意思，这里的意思是输入的值过滤了这些SQL注入语句，像以上这些都是！

咱们看这一行，这一行也是一段SQL注入语句，这段的意思是将uname做为条件输入，而后经过提交的uname去数据库中查询uname和pwd，而后把查询到的pwd和用户输入的pwd再进行对比

若是用户输入的pwd和数据库中查询的pwd相同的话，输出CTF{XXXXXX}，不然输出其它的！

我们须要作的就是让用户输入的pwd和数据库中查询的pwd相同，这下子咱们改怎么办呢？

我们能够利用如下SQL注入语句：

' or 1=1 group by pwd with rollup limit 1 offset 2 #

这段语句什么意思呢？

SELECT * FROM interest where uname=' ' or 1=1 
group by pwd with rollup  （在数据库中添加一行使得pwd=NULL）
limit 1 （只查询一行）
offset 2  （从第二行开始查询）
#注释
此时密码只要为空便可查询成功

 

这个就是本题的Key了！