首先打开解题链接查看源码:

查看源码后发现有一段注释:

<!--source: source.txt-->
这点的意思是:原来的程序员在写网页时给自己的一个提醒是源码在这个地方,我们要查看时将source.txt复制到当前地址栏里替换index.php,然后回车
就能看到源码了:


<?php

error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {

	echo '<form action="" method="post">'."<br/>";

	echo '<input name="uname" type="text"/>'."<br/>";

	echo '<input name="pwd" type="text"/>'."<br/>";

	echo '<input type="submit" />'."<br/>";

	echo '</form>'."<br/>";

	echo '<!--source: source.txt-->'."<br/>";

    die;

}

function AttackFilter($StrKey,$StrValue,$ArrReq){

    if (is_array($StrValue)){

        $StrValue=implode($StrValue);

    }

    if (preg_match("/".$ArrReq."/is",$StrValue)==1){

        print "姘村彲杞借垷锛屼害鍙禌鑹囷紒";

        exit();

    }

}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";

foreach($_POST as $key=>$value){

    AttackFilter($key,$value,$filter);

}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");

if (!$con){

	die('Could not connect: ' . mysql_error());

}

$db="XXXXXX";

mysql_select_db($db, $con);

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";

$query = mysql_query($sql);

if (mysql_num_rows($query) == 1) {

    $key = mysql_fetch_array($query);

    if($key['pwd'] == $_POST['pwd']) {

        print "CTF{XXXXXX}";

    }else{

        print "浜﹀彲璧涜墖锛�";

    }

}else{

	print "涓€棰楄禌鑹囷紒";

}

mysql_close($con);

?>

在提示中也很清楚的提示了解题思路:
主要涉及源码审计,MySQL相关的知识。
在这代码中有意思的地方是:
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";

foreach($_POST as $key=>$value){

    AttackFilter($key,$value,$filter);

}
他将这些sql注入的语句禁止了


$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";

$query = mysql_query($sql);

if (mysql_num_rows($query) == 1) {

    $key = mysql_fetch_array($query);

    if($key['pwd'] == $_POST['pwd']) {

        print "CTF{XXXXXX}";

    }else{

        print "浜﹀彲璧涜墖锛�";

    }

}else{

	print "涓€棰楄禌鑹囷紒";
这一部分的语句是说将输入进来的用户名与库里的进行对比,如果正确就输出flag,否则就会报错

那么接下来我们应该怎么做呢?
我们进行SQL注入:
' or 1=1 group by pwd with rollup limit 1 offset 2 #
在这句语句中
' or 1=1  我们都知道这是注入的一个常用语句,异或为真,恒成立
group by pwd with rollup  这句是sql里的添加一行,使得密码为空
limit 1  是查询的意思,查询第一行
offset 2 是从第二条数据开始查询
将这条语句输入到第一个框内,提交查询就可以的出flag,如果输入其他就会报错





												


											
实验吧—Web——WP之 因缺思汀的绕过的更多相关文章
	

    
								
  1. 实验吧CTF练习题---WEB---因缺思汀的绕过解析
		
    实验吧web之因缺思汀的绕过 地址:http://www.shiyanbar.com/ctf/1940 flag值:   解题步骤: 1.点开题目,观察题意 2.通过观察题目要求,判断此道题还有代码审 ...
    
		
    2. 
						
  2. CTF---Web入门第六题 因缺思汀的绕过
		
    因缺思汀的绕过分值:20 来源: pcat 难度:中 参与人数:6479人 Get Flag:2002人 答题人数:2197人 解题通过率:91% 访问解题链接去访问题目,可以进行答题.根据web题一 ...
    
		
    3. 
						
  3. 【实验吧】CTF_Web_因缺思汀的绕过
		
    打开页面,查看源代码,发现存在source.txt(http://ctf5.shiyanbar.com/web/pcat/source.txt),如下: <?php error_reportin ...
    
		
    4. 
						
  4. 【实验吧】因缺思汀的绕过&&拐弯抹角&&Forms&&天网管理系统
		
    <?php error_reporting(); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '<form a ...
    
		
    5. 
						
  5. 实验吧之【因缺思汀的绕过】(group by with rollup的注入利用)
		
    打开页面,查看源代码,发现存在source.txt(http://ctf5.shiyanbar.com/web/pcat/source.txt),如下: <?php error_reportin ...
    
		
    6. 
						
  6. 实验吧——因缺思汀的绕过(sql with rollup)
		
    题目地址:http://ctf5.shiyanbar.com/web/pcat/index.php 通读源码,得知出flag的条件 1.需要post提交uname以及pwd,否则直接die了 if ( ...
    
		
    7. 
						
  7. [实验吧](web)因缺思厅的绕过 源码审计绕过
		
    0x00 直接看源码吧 早上写了个注入fuzz的脚本,无聊回到实验吧的题目进行测试,发现了这道题 地址:http://ctf5.shiyanbar.com/web/pcat/index.php 分析如 ...
    
		
    8. 
						
  8. 实验吧—Web——WP之 Forms
		
    我们先打开解题链接: 做Web题的第一步就是查看网页源代码,当然,有些网页他不会让你点击右键,那么可以在地址栏里的地址前面加上:view-source: 当然也可以打开控制台F12 我们可以看到代码里 ...
    
		
    9. 
						
  9. 实验吧—Web——WP之 FALSE
		
    打开链接,点击源码按钮,我们开始分析源码: 在这源码中我们能看出 如果名字等于密码就输出:你的名字不能等于密码 如果名字的哈希值等于密码的哈希值,那么就会输出flag 这就意味着我们要上传两个值,值不 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. std::string 的方法c_str() 和 data() 有什么区别
			
    1.从C++标准上的解释来看,只有一点区别: c_str() 返回一个指向正规C字符串的指针常量,该指针保证指向一个 size() + 1 长度的空间,而且最后一个字符肯定是 \0 : 而 data( ...
    
			
    2. 
						
  2. [转载] C++ STL中判断list为空,size()==0和empty()有什么区别
			
    关于两个的区别,首先size()==0为bool表达式,empty()为函数调用,这一点很明显.查看源代码, bool empty() const { return _M_node->_M_ne ...
    
			
    3. 
						
  3. Win10系列:UWP界面布局进阶6
			
    在Windows 10的"个性化设置"中,用户可以更改计算机在锁屏状态下的背景图片,除此之外,也可以通过Windows应用商店应用程序将喜欢的图片设置为锁屏背景,下面通过一个示例来 ...
    
			
    4. 
						
  4. day12-python的类
			
    类的一般形式: 创建类我们一般用class关键字来创建一个类,class后面跟类名字,可以自定义,最后以冒号结尾,如下所示: class ClassName: '''类的说明''' 类的内容 类的内容 ...
    
			
    5. 
						
  5. 读书笔记 C#委托的BeginInvoke、EndInvoke之浅析
			
    c#中有一种类型叫委托,它是一种引用类型.可以引用静态与非静态的方法,且这些方法的参数列表和返回值类型必须与所声明的委托一致. 委托引用的方法可以通过BeginInvoke和EndInvoke来异步进 ...
    
			
    6. 
						
  6. TreeMap - 源代码学习笔记
			
    TreeMap 实现了 NavigableMap 接口,而NavigableMap 接口继承于 SortedMap接口. 所有本文还会记录 SortedMap 和 NavigableMap 的阅读笔记 ...
    
			
    7. 
						
  7. VSTO - 使用Excel加载项生成表和图表
			
    此示例显示如何创建Excel的加载项,使用户可以在其工作表中选择库存符号,然后生成一个新工作表,显示库存的历史性能. 工作表包含数据表和图表. 介绍Excel加载项通常不知道工作表包含什么.典型的加载 ...
    
			
    8. 
						
  8. 记录搭建ssm项目
			
    搞java也快3年了,搭建一个ssm居然有点吃力. 参考链接:https://blog.csdn.net/gebitan505/article/details/44455235/ 环境准备:jdk8. ...
    
			
    9. 
						
  9. 201621123001 《Java程序设计》第12周学习总结
			
    1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结多流与文件相关内容. 字节流以字节为基本处理单位,字符流以字符为基本处理单位,以Reader和Writer为基础派生出的一系列类 字 ...
    
			
    10. 
						
  10. vue中使用sass  做减法计算
			
    首先确认已安装sass依赖, yarn指令:yarn add sass-loader, style中写法如下: 注意calc(100% - 200px); 之间有两个空格的,
    
			
    11.