实验吧ctf题库web题wp

　　　打开题目首先查看源码，源码中注释部分有提示。

1 <!-- $password=$_POST['password'];
2     $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
3     $result=mysqli_query($link,$sql);
4         if(mysqli_num_rows($result)>0){
5             echo 'flag is :'.$flag;
6         }
7         else{
8             echo '密码错误!';
9         } -->

这个题目时通过mysqli_num_rows 来判断sql查询是否有结果。　　

sql查询的语句是$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";    

这个语句中唯一可以注入的地方就是md5($password,true)  

我们先要了解一下MD5这一个函数

md5(string,raw)

当raw为ture的时候将其转换成十六字符的二进制，如果输出的结果可以为'or’xxxx 其中xxx为比0大的单个数字或者是一个带引号的比零大的字符串即可。

  因为在mysql里面，在用作布尔型判断时，以1开头的字符串会被当做整型数。要注意的是这种情况是必须要有单引号括起来的，比如password=‘xxx’ or ‘1xxxxxxxxx’，那么就相当于password=‘xxx’ or 1  ，也就相当于password=‘xxx’ or true，所以返回值就是true。当然在我后来测试中发现，不只是1开头，只要是数字开头都是可以的。 当然如果只有数字的话，就不需要单引号，比如password=‘xxx’ or 1，那么返回值也是true。（xxx指代任意字符）

通过查询我们发现ffifdyop满足需求  提交之得到flag

当然还有很多的数组满足注入的需求 但是通常情况下计算量会相对较大。

给出几个payload 

129581926211651571912466741651878684928

ffifdyop