因缺思汀的绕过分值:20
- 来源: pcat
- 难度:中
- 参与人数:6479人
- Get Flag:2002人
- 答题人数:2197人
- 解题通过率:91%
访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码,请求,响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入,XSS等相关知识。涉及方向较多。此题主要涉及源码审计,MySQL相关的知识。
flag格式 CTF{}
解题链接: http://ctf5.shiyanbar.com/web/pcat/index.php
原题链接:http://www.shiyanbar.com/ctf/1940
【解题报告】
这是我入门Web开始写的第六道题,我们点开解题链接,发现页面很简洁,我们首先第一步还是先看页面的源码,也很简单,总共一行,但是这一行有一点让我好奇,多了一个source.txt的注释,说不定这个source.txt有猫腻,先自己想想看,本机可能不存在这个文件,我们通过浏览器访问,将后缀名改成source.txt访问试试!哎,还真的是,页面的完整源码原来在这里!
咱们来对这段代码进行审计
这一部分很有意思,这里的意思是输入的值过滤了这些SQL注入语句,像以上这些都是!
我们看这一行,这一行也是一段SQL注入语句,这段的意思是将uname作为条件输入,然后通过提交的uname去数据库中查询uname和pwd,然后把查询到的pwd和用户输入的pwd再进行对比
如果用户输入的pwd和数据库中查询的pwd相同的话,输出CTF{XXXXXX},否则输出其它的!
咱们需要做的就是让用户输入的pwd和数据库中查询的pwd相同,这下子我们改怎么办呢?
咱们可以利用以下SQL注入语句:
' or 1=1 group by pwd with rollup limit 1 offset 2 #
这段语句什么意思呢?
SELECT * FROM interest where uname=' ' or 1=1
group by pwd with rollup (在数据库中添加一行使得pwd=NULL)
limit 1 (只查询一行)
offset 2 (从第二行开始查询)
#注释
此时密码只要为空即可查询成功
这个就是本题的Key了!