前幾天做了一道CTF的題目，是在”實驗吧“的一道簡單的web題目，當然這道題目很多人都解出來了，因為它的.php檔名就是答案。

       他的網頁連結裡面的php檔名就是’ffifdyop.php‘。

       上面的’ffifdyop‘就是我們要輸入的密碼。哦，忘了介紹，這道題目只需要表單提交密碼。

      當然如果直接輸入ffifdyop，提交後就能出現flag。我也不知道出題的本意是如何，但是也許大家不知道這道題的原理是什麼，為什麼ffifdyop是答案。比如我，我之前一直不知道這個sql注入的原理是什麼。

       下面就說明這道題的sql注入的原理，我們可以直接看到後臺裡面的php判斷程式碼：

<!-- $password=$_POST['password'];
	$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
	$result=mysqli_query($link,$sql);
		if(mysqli_num_rows($result)>0){
			echo 'flag is :'.$flag;
		}
		else{
			echo '密碼錯誤!';
		} -->

       從程式碼很容易知道，用mysqli_num_rows()函式來判斷是否sql語句查詢結果有返回值，那麼重點就是那條sql語句。那麼唯一可以sql注入的地方就是md5($password,true)這個地方。

       那麼首先介紹一下md5這個函式。

     語法

                  md5(string,raw)

content: ffifdyop
hex: 276f722736c95d99e921722cf9ed621c
raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
string: 'or'6]!r,b

    這裡需要注意的是，當raw項為true時，返回的這個原始二進位制不是普通的二進位制（0，1），而是  'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c  這種。

       上面的’ffifdyop‘字串對應的16位原始二進位制的字串就是”    'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c    “  。  '  \  '後面的3個字元連同'  \  '算一個字元，比如’    \xc9    ‘，所以上述一共16個。當然，像’    \xc9    ‘這種字元會顯示亂碼。

       然後我們可以用’ffifdyop‘帶入，看一下實際的效果。

       這裡32位的16進位制的字串，兩個一組就是上面的16位二進位制的字串。比如27，這是16進位制的，先要轉化為10進位制的，就是39，39在ASC碼錶裡面就是’    '    ‘字元。6f就是對應‘    o    ’。

       然後我們得到的sql語句就是 SELECT * FROM admin WHERE username = 'admin' and password = ''or'6�]��!r,��b'

       為什麼password = ''or'6�]��!r,��b'的返回值會是true呢，因為or後面的單引號裡面的字串（6�]��!r,��b），是數字開頭的。當然不能以0開頭。（我不知道在資料庫裡面查詢的時候，�這種會不會顯示）

       這裡引用一篇文章，連線在下面，裡面的原話“a string starting with a 1 is cast as an integer when used as a boolean.“

      在mysql裡面，在用作布林型判斷時，以1開頭的字串會被當做整型數。要注意的是這種情況是必須要有單引號括起來的，比如password=‘xxx’ or ‘1xxxxxxxxx’，那麼就相當於password=‘xxx’ or 1  ，也就相當於password=‘xxx’ or true，所以返回值就是true。當然在我後來測試中發現，不只是1開頭，只要是數字開頭都是可以的。

       當然如果只有數字的話，就不需要單引號，比如password=‘xxx’ or 1，那麼返回值也是true。（xxx指代任意字元）

       表裡就只有一條資料，用於測試。

       所以到這裡為止，就完成了sql注入。同時要注意的是，這種sql語句，在mysql裡面是可以行得通的，但是在oracle資料庫裡面這樣的語句是有語法錯誤的。

       所以回過頭來為什麼ffifdyop就是答案，因為ffifdyop的md5的原始二進位制字串裡面有‘or’6這一部分的字元。那麼進一步思考這個單引號是否是必要的，這兩個單引號是為了與原有的語句的單引號配對。所以我們理解了這個sql注入的原理，那麼就明白了我們需要怎樣的字串。

       當然答案也不止這一個。

content: 129581926211651571912466741651878684928
hex: 06da5430449f8f6f23dfc1276f722738
raw: \x06\xdaT0D\x9f\x8fo#\xdf\xc1'or'8
string: T0Do#'or'8

        這個字串也是符合要求的。因為它含有‘or’8

       也許還有其他符合要求的字串，也可以自己寫個程式碼去計算，但是計算次數會很大，下面那篇文章裡的作者就是自己寫的程式碼計算的。

       那我們從正向推算一下，要怎麼得到我們要的答案。首先我們要找到一個字串，這個字串經過md5得到的16位原始二進位制的字串能幫我們實現sql注入。首先or這個字串是必要的，同時為了配對原先sql語句裡面有的單引號

  在or的兩邊要有單引號，使它變成  password=‘xxx’or‘xxx’  的形式，所以我們需要的字串的原始二進位制格式的字串裡要包含    ‘or’    ，如果根據原始二進位制來找到我們要的字串可能會比較麻煩，那麼可以根據32位16進位制的字串來查詢，根據上面介紹的，  ‘or’   對應的16進位制是   276f7227    ，所以我們的目標就是要找一個字串取32位16進位制的md5值裡帶有276f7227這個欄位的，接著就是要看關鍵的數字部分了，在276f7227這個欄位後面緊跟一個數字，除了0，1-9，對應的asc碼值是49-57，轉化為16進位制就是31-39，也就是我們需要有276f7227+（31-39）這個欄位，就可以滿足要求。比如xxxxxxxxxxxxxxxx276f7227（31-39）xxxxxx