ctfshow之_萌新web1至web7

一、访问在线靶场ctfshow

ctf.showhttps://ctf.show/challenges如下图所示,进入_萌新赛的web1问题:

ctfshow之_萌新web1至web7_第1张图片如上图所示,页面代码提示id=1000时,可以查询到flag,进行如下尝试:

ctfshow之_萌新web1至web7_第2张图片

如下图所示,传入参数id=1时,显示出了标题(title)和内容(content)。

ctfshow之_萌新web1至web7_第3张图片

 如上图所示,可以看到查询sql语句,尝试使用id=1 or id =1000,截图如下:

ctfshow之_萌新web1至web7_第4张图片

 如上图所示,只显示了id=1时的内容,再看sql语句,order by id limit 1,对id进行了排序且只输出第1条的title和content。尝试传入参数id=2时,title和content都没显示出来,截图如下:

ctfshow之_萌新web1至web7_第5张图片

尝试传入参数id=2 or id=1000,title和content显示出来了id=1000时的title和content,截图如下:

ctfshow之_萌新web1至web7_第6张图片

 这这这,为何显示了flag❓

order by id limit 1为何显示出来了id=1000的title和content呢?!

本来想着让order by id limit 1失效,没想到flag显示出来了

尝试传入参数id=2 or id=1000 --+,如截图所示也显示出来flag,--+在数据库中是注释掉后面一行内容,即使order by id limit 1失效,这里的+,在浏览器访问地址中表示空格,传入sql语句中是空格。

ctfshow之_萌新web1至web7_第7张图片

 尝试传入参数id=2 || id=1000同上,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第8张图片

尝试传入参数id=2 union select * from article where id=1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第9张图片

 尝试传入参数id='1000',如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第10张图片

尝试传入参数id="1000",如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第11张图片

 尝试传入参数id=~~1000~在sql语句中表示取反,~~1000是取反后再取反,即还是原数1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第12张图片

 尝试传入参数id=0b1111101000即二进制数1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第13张图片

 尝试传入参数id=01750即八进制数1000,为何未显示出来flag?!

ctfshow之_萌新web1至web7_第14张图片

  尝试传入参数id=0x3e8即十六进制数1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第15张图片

 尝试传入参数id=20*50即20乘以50运算,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第16张图片

尝试传入参数id=500/0.5即500除以0.5运算,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第17张图片

尝试传入参数id=0000^1000即0000异或1000运算,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第18张图片

 尝试传入参数id=0000|1000即0000或1000运算,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第19张图片

  尝试传入参数id=125<<3即125的二进制左移3位后,后面补0,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第20张图片

尝试传入参数id=power(10,3)即10的3次方运算,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第21张图片

尝试传入参数id='1e3'即科学计数法10的3次方运算,等于1000,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第22张图片

  尝试传入参数id=/**/1000/**/在sql语句中,星号之间是注释说明,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第23张图片

  尝试传入参数id=/*!1000*//*!1000*/在sql语句中是内联注释,如截图所示也显示出来flag。

ctfshow之_萌新web1至web7_第24张图片

 二、$_GET['id']获取到的参数是String类型的

如下图所示,尝试传如参数id='1000'或id=8时,$_GET['id']获取到的id数值类型是String类型的。

ctfshow之_萌新web1至web7_第25张图片

ctfshow之_萌新web1至web7_第26张图片

所以想要输出id=1000时的结果,需要查看intval()的运行结果,且需要查询sql能正常执行。

比如,传入参数id=id=2 or id=1000 --+,intval("id=2 or id=1000 --+")的运行结果是2,且sql执行结果是查询出了id=2 or id=1000的结果。

比如,传入参数id='1000',intval("'1000'")的运行结果是0,查询sql时id='1000',直接查询出id=1000的结果。

比如,传入参数id=01750,intval("01750")的运行结果是1750,所以未能执行sql,查不出来flag!

另外,就是id传入的参数是字符串,intval()转为整数时,是一位一位转换为整数时,遇到非数字值时则停止,若没有数值,则直接返回0,所以intval("id=2 or id=1000 --+")转换为整数时是2。


三、intval()函数尝试

再返回来看看该题,传入参数id=1000时报错;审计代码,使用intval($id)函数进行条件判断,菜鸟教程查询该函数,解释如下:

ctfshow之_萌新web1至web7_第27张图片

ctfshow之_萌新web1至web7_第28张图片

 被这个intval()函数搞得晕头转向了

ctfshow之_萌新web1至web7_第29张图片

 在csdn的InsCode编辑其中,中进行了如上尝试,感觉貌似知道了intval函数啥意思,又被菜鸟教程的实例搞晕了,继续尝试,怎么都没法理解,想出来的奇葩理由:

ctfshow之_萌新web1至web7_第30张图片

对于这个函数神奇的表现,猜测如下:

intval()函数返回的是十进制的整数。

第一个参数可以是数字、可以是字符串。

第二个参数是指定第一个参数的数字类型(二进制、八进制、十六进制......),可以指定,也可以不指定,不指定时默认为十进制,若是0,将会对第一个参数做合法性校验。

第一个参数若为字符串,转换为十进制时是一位一位来计算的,若和第二位参数指定的类型不符时,遇到不合法位前,也会一位一位计算出第二位参数指定进制的十进制结果;若没有指定第二个参数,那么默认按十进制转换;第一个参数若为数值时,第二个参数指明的类型是否正确,你就别给我胡强了的感觉。

另外还有个特殊情况,就是第二个参数可以是0,是0时,会判断第一个参数是不是满足数据类型要求,比如二进制0b10(二进制以0b开头,数值部分只能包含1或0),八进制072(八进制以0开头,数值部分只能包含0至7这8个数字),十六进制0xa8(十六进制以0x开头,数值部分只能包含0至9,a至f),若不满足数据类型要求,则直接报语法错误!


你可能感兴趣的:(安全,sql,php)