sqli-0x1WEB 未解决

分数: 0 金币: 0
所属赛事: HackINI 2021
题目作者: 未知
一  血: Aman
一血奖励: 0金币
解  决: 2086
提  示:
描  述:
SQL injections are still a problem yes, even in 2021. Bypass the login mechanism and get access to the admin area.
...
登录回复
评论
morphy 1年前
举报

请教一下各位师傅,为什么admin'xx union select 1, 'xxxx会被过滤规则检测出来,但是admin'xx union select 1,'xxxx就不会被检测出来?(区别就是第二个单引号前有没有空格)

回复 0
脆脆sha_ 1年前
举报

源码中黑名单数组里面有空格单引号这个字符串,foreach这个只要遍历到有黑名单字符串就会报错

回复 4
ukdnp 1年前
举报

代码审计题,见网页源码的/plz_help。

回复 0
zeromoment 1年前
举报

f1534392279bddbf9d43dde8701cb5be14b82f76ec6607bf8d6ad557f60f304e$0 不行?

回复 0
shike 1年前
举报

shellmates{c0ngr4tul4t10ns_U_d1d_1t!!_fe4cd84591ea}

回复 0
xiaodeng 1年前
举报

哪个大佬有密码库

回复 2
17743520638 1年前
举报

这道题非常有意思

回复 0
meilanzhuju 1年前
举报

五边形战士

回复 0
波光摇曳 1年前
举报

shellmates{c0ngr4tul4t10ns_U_d1d_1t!!_fe4cd84591ea}

回复 0
lzq2000 1年前
举报

<?php echo hash(“sha256”, “123”.“456”);?> 得到 8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92 123是口令,456是盐

回复 6
黑化佩琪 1年前
举报

佬,这个属于sql注入哪方面的知识,我之前没听说过你的解法

回复 0
xzs297995 1年前
举报

@234722457 2a8610aefdd0028c6bf074dd18721c0ef8bc43241cc7a653d7aedf2036bdf6b3$654应该是这个 而且密码是987

回复 0
在浅水中溺水么? 1年前
举报

@234722457 987654要换成2a8610aefdd0028c6bf074dd18721c0ef8bc43241cc7a653d7aedf2036bdf6b3

回复 0
234722457 1年前
举报

大佬,不用 123456 用 987654 为什么失败啊

回复 0
lzq2000 1年前
举报

查询一个不存在的账号,拼接union select,将自定义的密码和盐生成的加密字符串注入,覆盖密码查询结果,使用自定义的密码即可通过密码校验,post发送: user=a'union select 1,'8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92$456'--+&pass=123

回复 19
脆脆sha_ 1年前
举报

@星夜见月 源码中有正则匹配,允许单引号在字母中间的输入

回复 0
星夜见月 1年前
举报

为什么a'u这个不会被过滤出来

回复 0
lzq2000 1年前
举报

@Am0s 联合查询其实本质就是手工增加了一个结果集,跟从数据库中真正查询出来的结果是一样的效果。这里因为数据库中存储的是加过密的信息,所以我们得构造一下加密结果。

回复 3
lzq2000 1年前
举报

@2957632449 是的,联合查询其实本质就是手工增加了一个结果集,结果就是对应字段的值!

回复 2
2957632449 1年前
举报

佬 这边1,'8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92$456' 这一串 会自动新建一个结果集是吗 然后'8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92$456'这边代表的是字段password里的值对吗

回复 0
TwTsaltfish 1年前
举报

@Am0s 3、源码中验证sha256(明文密码$pass+$result["password"]中$后的字符串【$salt】)=$result["password"]中$前的值

回复 0
TwTsaltfish 1年前
举报

@Am0s 1、猜测原先就是两个字段、账号密码,正常情况下搜到的就是这两个字段$result["user"],$result["password"];2、查询一个不存在的账号,没有union会是空的,union查询得到的第二个值(这里如果有多个无用字段要测试哪个是密码)会作为$result["password"]进入后面的逻辑;3、源码中验证sha2

回复 1
Am0s 1年前
举报

大佬能讲解一下原理吗

回复 0

WriteUp

image
a2cai

2 金币

立即查看

评分(27)

解题动态

yehua123 攻破了该题 3小时前
温吞世俗人间烟火 攻破了该题 1天前
萦梦Sora~ 攻破了该题 1天前
z999 攻破了该题 1天前
tteetta 攻破了该题 2天前
cbctf 攻破了该题 3天前
YoungKnight 攻破了该题 3天前
chenmin 攻破了该题 3天前
步凡 攻破了该题 3天前
0o01I 攻破了该题 4天前
元夕 攻破了该题 5天前
奔跑的开开 攻破了该题 5天前
hengdonghui 攻破了该题 5天前
欲晓 攻破了该题 6天前
zrc2682 攻破了该题 7天前
L0GAN 攻破了该题 7天前
Zhengzanmei 攻破了该题 8天前
IlIlIlIllll 攻破了该题 8天前
sann111 攻破了该题 8天前
yy_hc 攻破了该题 9天前
问题反馈