CTF---Web入门第六题 因缺思汀的绕过

因缺思汀的绕过分值：20

• 来源： pcat
• 难度：中
• 参与人数：6479人
• Get Flag：2002人
• 答题人数：2197人
• 解题通过率：91%

访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码，请求，响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入，XSS等相关知识。涉及方向较多。此题主要涉及源码审计，MySQL相关的知识。

flag格式 CTF{}

解题链接：

http://ctf5.shiyanbar.com/web/pcat/index.php

原题链接：http://www.shiyanbar.com/ctf/1940

【解题报告】

　　这是我入门Web开始写的第六道题，我们点开解题链接，发现页面很简洁，我们首先第一步还是先看页面的源码，也很简单，总共一行，但是这一行有一点让我好奇，多了一个source.txt的注释，说不定这个source.txt有猫腻，先自己想想看，本机可能不存在这个文件，我们通过浏览器访问，将后缀名改成source.txt访问试试！哎，还真的是，页面的完整源码原来在这里！

咱们来对这段代码进行审计

这一部分很有意思，这里的意思是输入的值过滤了这些SQL注入语句，像以上这些都是！

我们看这一行，这一行也是一段SQL注入语句，这段的意思是将uname作为条件输入，然后通过提交的uname去数据库中查询uname和pwd，然后把查询到的pwd和用户输入的pwd再进行对比

如果用户输入的pwd和数据库中查询的pwd相同的话，输出CTF{XXXXXX}，否则输出其它的！

咱们需要做的就是让用户输入的pwd和数据库中查询的pwd相同，这下子我们改怎么办呢？

咱们可以利用以下SQL注入语句：

' or 1=1 group by pwd with rollup limit 1 offset 2 #

这段语句什么意思呢？

SELECT * FROM interest where uname=' ' or 1=1 
group by pwd with rollup  （在数据库中添加一行使得pwd=NULL）
limit 1 （只查询一行）
offset 2  （从第二行开始查询）
#注释
此时密码只要为空即可查询成功

这个就是本题的Key了！