访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码，请求，响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入，XSS等相关知识。涉及方向较多。此题主要涉及源码审计，MySQL相关的知识。

 

flag格式 CTF{}

解题链接： http://ctf5.shiyanbar.com/web/pcat/index.php

1.查看源代码

2.打开链接http://ctf5.shiyanbar.com/web/pcat/source.txt，出现PHP代码

可以得知数据库中的记录就只有一条，这部分逻辑大概就是通过提交的uname查询出结果，如果结果只有一条则继续，如果查询结果中的pwd字段和post过去的key值相同，则给出flag。

这时就要用到注入的一个小技巧，我们使用group by pwd with rollup 来在查询结果后加一行，并且这一行pwd字段的值为NULL

在mysql官方文档中是这样描述rollup函数的：

 在GROUP BY子句中使用WITH ROLLUP会在数据库中加入一行用来计算总数。

再结合limit和offset就可以写出一个payload

即：输入的用户名为：' or 1=1 group by pwd with rollup limit 1 offset 2 #

#注释

SELECT * FROM interest where uname=' ' or 1=1 

group by pwd with rollup  （在数据库中添加一行使得pwd=NULL）

limit 1 （只查询一行）

offset 2  （从第二行开始查询）

 

注意三点：《1》，关键字被过滤;《2》，单行输出，所以用limit，因为逗号被过滤，所以不用limit 0，1检验行数，在这里等同于 limit 1 offset 0，检验发现只有两行：1' or 1 limit 1 offset 1# 。《3》使pwd为空，有数据的情况下怎么搞出一条空的数据？---那就伪造一条：group by with rollup 是把所有信息在最下面整合汇总一条的功能，并且可指定字段汇总为空！！所以执行：1' or 1=1 group by pwd with rollup limit 1 offset 2# 即可得到flag

此时密码只要为空即可查询成功