ctfshow web 10

ctfshow web 10

打开题目长这样，点击取消会自动下载indexs.php文件，打开查看源码

<?php$flag="";function replaceSpecialChar($strParam){$regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";return preg_replace($regex,"",$strParam);}if (!$con){die('Could not connect: ' . mysqli_error());}if(strlen($username)!=strlen(replaceSpecialChar($username))){die("sql inject error");}if(strlen($password)!=strlen(replaceSpecialChar($password))){die("sql inject error");}$sql="select * from user where username = '$username'";$result=mysqli_query($con,$sql);if(mysqli_num_rows($result)>0){while($row=mysqli_fetch_assoc($result)){if($password==$row['password']){echo "登陆成功<br>";echo $flag;}}}?> 

$regex 告诉了我们一些sql查询过滤的一些语句，正常情况下来说我们会使用双写来绕过，但是

if(strlen($username)!=strlen(replaceSpecialChar($username))){die("sql inject error");}if(strlen($password)!=strlen(replaceSpecialChar($password))){die("sql inject error");}

这两个if语句会限制你用双写绕过，会比较长度和内容，这你不就炸杠了吗

源码中先根据用户名查询用户信息, 用户名通过以后, 再判断密码是否相同, 我们绕过用户名的过滤条件, 在使用 with rollup注入绕过密码

这边查了网上大佬的wp发现mysql里面有个with rollup函数绕过

with rollup 可以对 group by 分组结果再次进行分组,并在最后添加一行数据用于展示结果( 对group by未指定的字段进行求和汇总, 而group by指定的分组字段则用null占位

这里我们利用 admin'/**/or/**/1=1（这道题试了一下貌似还是有空格过滤，太无聊了）保证前面的username查询为真，使其成功查询username，接下来就会password是否和username匹配，我们就先使用group by函数将password分组，由于with rollup不会对password