BUUCTF[极客大挑战 2019]EasySQL1

打开环境是一个登录页面

先随便尝试一下admin admin

跳转到了check

到了这里试了试有没有过滤单引号

发现没有过滤

但是太久没有做web的题目，下面就没有思路了

看了wp，看到这里是用了sql的万能密码

万能密码的原理就是

在登陆时，网站需要查询数据库。查询数据库就是执行SQL语句。
用户登录时，后台执行的数据库查询操作（SQL语句）是：
【Select user_id,user_type,email From users Where user_id=’用户名’ And password=’密码’】。
由于网站后台在进行数据库查询的时候没有对单引号进行过滤，当输入用户名【admin】和万能密码【2’or’1】时，执行的SQL语句为：
【Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’or’1’】。
由于SQL语句中逻辑运算符具有优先级，【=】优先于【and】，【and】优先于【or】，且适用传递性。因此，此SQL语句在后台解析时，分成两句：
【Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’】和【’1’】，两句bool值进行逻辑or运算，恒为TRUE。
SQL语句的查询结果为TRUE，就意味着认证成功，也可以登录到系统中。
输入用户名【admin】，密码【2’or’1】，即可登录成功

 

自己梳理了一下发现就是后台数据库没有对单引号进行过滤，通过输入万能密码2’or’1和后台执行的sql语句进行闭合，而and的优先性大于or，从而把后台执行的sql语句分成了2句，后台就会先执行这一句Select user_id,user_type,email From users Where user_id=’admin’ And password=’2’

然后在和’1’进行or运算，使查询的结果为真，从而登陆成功

那么就用万能密码进行登录

但是不对

万能密码也有很多

换一个再试试 admin' or 1=1 %23

得到flag