題目連結：http://www.shiyanbar.com/ctf/1940

檢視原始碼，可以看到註釋裡提示了原始碼的位置，訪問source.txt得到原始碼，然後開始審計吧！先把原始碼貼出來

<?php
error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="uname" type="text"/>'."<br/>"
 
;
    echo '<input name="pwd" type="text"/>'."<br/>";
    echo '<input type="submit" />'."<br/>";
    echo '</form>'."<br/>";
    echo '<!--source: source.txt-->'."<br/>";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue
 
)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "水可載舟，亦可賽艇！";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con
 
 = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
    die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可賽艇！";
    }
}else{
    print "一顆賽艇！";
}
mysql_close($con);
?>

通讀原始碼可以發現，我們輸入的username與password都使用了黑名單過濾，這也告訴我們是有機會的，畢竟黑名單存在繞過的可能性。黑名單如下：

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";

過濾了之後，執行了一條sql語句：

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";

這條語句拼接了我們輸入的uname，也就是說注入點只可能存在於uname欄位，接下來判斷了sql語句的查詢結果是否只有一條資料，如果成立就把我們post過去的密碼與資料庫中儲存的密碼進行比對，如果相同就列印flag!

這兒也就是我們需要繞過的地方，其中最主要的又是繞過密碼的比較。我一開始的思路是使用union語句構造一個類似於下面的語句：

}' union select 123,123#

然後密碼輸入123，就可以繞過了。但是發現繞不過它的過濾條件，搞了半天結果還是自己sql語句玩的不夠熟練，，這裡是巧妙地用了select過程中​​用group by with rollup這個統計的方法進行查詢。group by with rollup會在統計後的產生一條null資訊，然後在pwd裡不寫值，if就為true了。

所以只要我們使用者名稱輸入如下語句:

}' or 1 group by pwd with rollup limit 1 offset 2#

（該資料表中只有兩條資訊）
然後密碼部分保持為空就可以得到flag。