一、分段代码审计(4)

十六、SQL注入or绕过


magic_quotes_gpc 魔术引号开关
在magic_quotes_gpc = On的情况下,如果输入的数据有单引号(')、双引号(")、反斜线(\)与 NULL(NULL 字符)都会被加上反斜线

payload:?username=admin\'\' AND pass=\''or 1 #&password=(暂时不清楚什么情况)

十七、密码md5比较绕过

Logged in! Key: ntcf{**************} 

"; } else { echo("

Log in failure!

"); } } ?>

要得到flag,我们需要让数据库中取出来的数据$query[pw]md5($_POST[pass])相等。
因为sql语句并没有进行任何过滤,我们可以使用union select控制返回的结果。
payload:?user='and 0=1 union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456
执行的sql语句为select pw from ctf where user=''and 0=1 union select 'e10adc3949ba59abbe56e057f20f883e' # and 0=1是为了让前面的语句没有返回结果,后面的语句控制了输出结果为e10adc3949ba59abbe56e057f20f883e,这一串字符是123456md5加密后的字符,所以只要让pass=123456就可以满足条件。

十八、md5()函数===使用数组绕过


前面提到过如果是==时可以用0exxxxx的方式绕过,但这里是===,只能利用php对数组进行hash运算会返回NULL的特性进行,将name和password分别赋两个不同的数组,这样就满足他两个不相同但加密后的值却相同
payload:?username[]=1&password[]=2

十九、ereg()函数strpos() 函数用数组返回NULL绕过


  • 方法一:ereg()正则函数可以用%00截断,前面已经提到很多次了,这里就不多说了,payload:?password=1%00--
  • 方法二:ereg和strpos函数传入数组后返回的都是NULL,NULL === FALSE 不成立,进入下一个判断,NULL !==FLASE成立,返回Flag,payload:password[]=

二十、十六进制与数字比较

= $one) && ($digit <= $nine) )
        {
            // Aha, digit not allowed!
            return "flase";
        }
    }
    if($number == $temp)
        return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

可以看出让我们输入password,password通过一个for循环进行了限制,每一位不可以大于等于1小于等于9。
后面又要求password=='3735929054',把这一串数据转换为16进制后得到0xeadc0de(0x代表16进制),这一串字符每一位都满足不可以大于等于1小于等于9。
payload:?password=0xdeadc0de

你可能感兴趣的:(一、分段代码审计(4))