打开页面 就一个登陆框

泪流满面 终于是sql注入了

首先 admin:admin 看看正常的返回

看看源码

发现有token 那就不能用burp的repeater了 （所以不是图文 233 将就着看吧）

测试 ':' 两个单引号 没有任何回显 按老外的话说 Strange behavior!(说人话就是 有注入！)

fuzz一下发现 ;%00 # 和 连减号加空格有回显 也就是成功注释了

但是 admin'#的时候 又没有回显了 Strange behavior again

这里的问题在于按照正常的后台语句要么选出用户名和密码类似

select * from admin where name=$name and pass=$pass

要么选出用户名

select id,name,pass from admin where name=$_POST[name]

然后比对md5(pass)

这俩种 在admin'#的时候 都应该正常回显 想了下

测试a'# 成功回显 心想 总不会过滤admin吧 = =

继续测试出字段数为4 输入

a’ union select 1,2,3,4#

又没有回显 .. （脑补一脸懵逼的表情） 换成null也不行 看来是过滤了union select

于是准备写脚本盲注 但是想想有token啊=.= 然后就看到了这个

沃日 敢不敢字体再小一点（眼癌晚期）

接下来就简单了 查库 查表 查字段 最后

a' union select 1,2,(select concat(username,0x3a,password) from user ),4#

admin:catchme8

还以为是道400分的水题 然而..

用word生成的pdf怎么都是上传格式不对 最后发现application不对..

点help.pdf 文件未找到 尝试读取index.php也不行

ping 页面试了 & $ | %0a ； 还有反引号 都不行

看看题目的页面 应该是让读取源码 然后命令注入 或者上传 然而怎么都读不到页面

后来基友发现../index.php可以读取 = = 脑洞给跪

最后在index.php里 的一个error文件里 读取到了flag（给出题人跪了）

SharifCTF{0dd185ab0a7077439b31c7c1e79c25dd}