SQL注入2

首先点击source，我们来看一下源码：

<html>
<head>
Secure Web Login II
</head>
<body>

<?php
if($_POST[user] && $_POST[pass]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $user = $_POST[user];
  $pass = md5($_POST[pass]);
  $query = @mysql_fetch_array(mysql_query("select pw from ctf where user='$user'"));
  if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
      echo "<p>Logged in! Key: ntcf{**************} </p>";
  }
  else {
    echo("<p>Log in failure!</p>");
  }
}
?>


<form method=post action=index.php>
<input type=text name=user value="Username">
<input type=password name=pass value="Password">
<input type=submit>
</form>
</body>
<a href="index.phps">Source</a>
</html>

挑出来关键的代码块:

if($_POST[user] && $_POST[pass]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $user = $_POST[user];
  $pass = md5($_POST[pass]);
  $query = @mysql_fetch_array(mysql_query("select pw from ctf where user='$user'"));
  if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
      echo "<p>Logged in! Key: ntcf{**************} </p>";
  }
  else {
    echo("<p>Log in failure!</p>");
  }

进行分析:

image.png

如果我们能使程序执行这段代码就能得到flag

if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
      echo "<p>Logged in! Key: ntcf{**************} </p>";
  }

查询strcasecmp这个函数的意思:

(PHP 4, PHP 5, PHP 7)
strcasecmp ----- 二进制安全比较字符串（不区分大小写）
如果 str1 小于 str2 返回 < 0； 如果 str1 大于 str2 返回 > 0；如果两者相等，返回 0。

意思很明显了:

我们需要使输入的pass经过md5加密以后的值和执行sql语句查询后的pass值相等

这道题目前面就提醒我们主要考察union查询!!

所以构造payload:

image.png

解析:
1.执行union查询后面语句的条件是前面一部分语句是false,所以这里前面的username写成xxxx,肯定不存在的,返回false
2.'union select md5(233),返回一个经过md5加密后的233
3.#是为了注释sql语句中的那个单引号
4.这里的pass要写跟前面的一样的值233