1.因缺思汀的繞過

開啟後是一個登入框類似的東西，檢視頁面原始碼可以看到有source:source.txt的字樣

開啟連線：http://ctf5.shiyanbar.com/web/pcat/source.txt

可以看到登入的php邏輯：

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
	echo '<form action="" method="post">'."<br/>";
	echo '<input name="uname" type="text"/>'."<br/>";
	echo '<input name="pwd" type="text"/>'."<br/>";
	echo '<input type="submit" />'."<br/>";
	echo '</form>'."<br/>";
	echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "姘村彲杞借垷錛屼害鍙禌鑹囷紒";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
	die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "浜﹀彲璧涜墖錛�";
    }
}else{
	print "涓€棰楄禌鑹囷紒";
}
mysql_close($con);
?>
 

可以看到，這裡面有SQL的一個過濾器，把一些sql的關鍵字例如benchmark，join等都過濾了

而且sql查詢語句是：

SELECT * FROM interest WHERE uname = '{$_POST['uname']}

mysql_num_rows($query) == 1

這個判斷可以得知資料庫中的記錄就只有一條，這部分邏輯大概就是然後通過提交的uname查詢出結果，如果結果只有一條則繼續，如果查詢結果中的pwd欄位和post過去的key值相同，則給出flag。
這時就要用到注入的一個小技巧，我們使用group by pwd with rollup 來在查詢結果後加一行，並且這一行pwd欄位的值為NULL
在mysql官方文件中是這樣描述rollup函式的：

大概的意思就是在GROUP BY子句中使用WITH ROLLUP會在資料庫中加入一行用來計算總數，ROLLUP子句的更加詳細的用法，可以參考mysql的官方文件，此處就不多做贅述了。
再結合limit和offset就可以寫出一個payload
即：輸入的使用者名稱為：' or 1=1 group by pwd with rollup limit 1 offset 2 #
這裡解釋一下此時執行的SQL:
SELECT * FROM interest where uname=' ' or 1=1
group by pwd with rollup  （在資料庫中新增一行使得pwd=NULL）
limit 1 （只查詢一行）
offset 2  （從第二行開始查詢）
#註釋
此時密碼只要為空即可查詢成功

2.登陸一下好嗎？？
解題路徑：http://ctf5.shiyanbar.com/web/wonderkun/web/index.html
題目說這個過濾了很多敏感符號，於是先構造一下常用的payload：' or 1=1 #

發現or 和 #都被過濾掉了，通過測試發現--也被過濾了，看起來是很嚇人，但是不過幸好'沒有被過濾，於是構造payload:
username = travis'='
password=travis'='

這個時候成果獲得flag
為什麼這樣可以繞過呢？
當提交username=travis'='&password=travis'='
語句會變成如下：
select * from user where username='travis'='' and password='travis'=''
這時候還不夠清晰，我提取前一段判斷出來（後面的同樣道理）
username='travis'=''
這是有2個等號，然後計算順序從左到右，
先計算username='travis' 一般資料庫裡不可能有我這個小名（若有，你就換一個字串），所以這裡返回值為0（相當於false）
然後0='' 這個結果呢？看到這裡估計你也懂了，就是返回1（相當於true）

所以這樣的注入相當於
select * from user where 1 and 1
也等於 select * from user
（這題只有篩選出來的結果有3個以上才會顯示flag，沒有就一直說“對不起，沒有此使用者！！”）

面那個比較是弱型別的比較，
以下情況都會為true
1='1'
1='1.0'
1='1後接字母(再後面有數字也可以)'
0='除了非0數字開頭的字串'
（總體上只要前面達成0的話，要使語句為true很簡單，所以這題的萬能密碼只要按照我上面的法子去寫一大把）