实验吧ctf题库web题wp

　　经历了学校的校赛，一度自闭，被大佬们刺激的要奋发图强。

　　1、后台登录　

　　　链接： http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php

　　　打开题目首先查看源码，源码中注释部分有提示。

　　　

 <!-- $password=$_POST['password'];
     $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
     $result=mysqli_query($link,$sql);
         if(mysqli_num_rows($result)>0){
             echo 'flag is :'.$flag;
         }
         else{
             echo '密码错误!';
         } -->

这个题目时通过mysqli_num_rows 来判断sql查询是否有结果。　　

sql查询的语句是$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";

这个语句中唯一可以注入的地方就是md5($password,true)

我们先要了解一下MD5这一个函数

md5(string,raw)

参数	描述
string	必需。规定要计算的字符串。
raw	可选。规定十六进制或二进制输出格式： TRUE - 原始 16 字符二进制格式 FALSE - 默认。32 字符十六进制数

当raw为ture的时候将其转换成十六字符的二进制，如果输出的结果可以为'or’xxxx 其中xxx为比0大的单个数字或者是一个带引号的比零大的字符串即可。

因为在mysql里面，在用作布尔型判断时，以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的，比如password=‘xxx’ or ‘1xxxxxxxxx’，那么就相当于password=‘xxx’ or 1  ，也就相当于password=‘xxx’ or true，所以返回值就是true。当然在我后来测试中发现，不只是1开头，只要是数字开头都是可以的。 当然如果只有数字的话，就不需要单引号，比如password=‘xxx’ or 1，那么返回值也是true。（xxx指代任意字符）

通过查询我们发现ffifdyop满足需求  提交之得到flag

当然还有很多的数组满足注入的需求 但是通常情况下计算量会相对较大。

给出几个payload

129581926211651571912466741651878684928

ffifdyop