web1 1

提示flag在id等于1000时候会出现，但是要求id传参数值不大于999，传参之后数值会被拼接到一个sql查询语句里面，这里利用or来绕过

?id=2 or id=1000

一个id用于绕过intval($id) > 999 的验证, 另一个id 用来返回1000的查询结果, 也就是flag

web2 1

还是一样的，只是or被禁用了，

<html>
<head>
    <title>ctf.show萌新计划web1</title>
    <meta charset="utf-8">
</head>
<body>
<?php
# 包含数据库连接文件
include("config.php");
# 判断get提交的参数id是否存在
if(isset($_GET['id'])){
        $id = $_GET['id'];
    if(preg_match("/or|\+/i",$id)){
            die("id error");
    }
    # 判断id的值是否大于999
    if(intval($id) > 999){
        # id 大于 999 直接退出并返回错误
        die("id error");
    }else{
        # id 小于 999 拼接sql语句
        $sql = "select * from article where id = $id order by id limit 1 ";
        echo "执行的sql为：$sql<br>";
        # 执行sql 语句
        $result = $conn->query($sql);
        # 判断有没有查询结果
        if ($result->num_rows > 0) {
            # 如果有结果，获取结果对象的值$row
            while($row = $result->fetch_assoc()) {
                echo "id: " . $row["id"]. " - title: " . $row["title"]. " <br><hr>" . $row["content"]. "<br>";
            }
        }
        # 关闭数据库连接
        $conn->close();
    }
    
}else{
    highlight_file(__FILE__);
}

?>
</body>
<!-- flag in id = 1000 -->
</html>

?id=2||id=1000

这里用管道符代替即可

web3 1

同上一样的题目，这里禁用了/or|\-|\\|\*|\<|\>|\!|x|hex|\+/i，

?id=2 union select * from article where id=1000

这里直接利用UNION查询语句，根据回显的语句进行拼接

web4 1

过滤的东西变多了/or|\-|\\\|\/|\\*|\<|\>|\!|x|hex|\(|\)|\+|select/i

?id='1000'

MySQL 会将字符串’1000’自动转换为整数1000

web5 1

过滤如下/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\!|x|hex|\(|\)|\+|select/i

进行异或绕过

?id=144^888

• 异或^运算：相同为 0，不同为 1
• 这里将144和888转换成二进制数，不足位用0补齐，接着上下对齐进行异或运算，再将结果转换成十进制
• MySQL中，^会被解析成异或运算
• 同时php中intval()将字符串从左到右解析，遇到非字符串^就会进行截断，只取144

web6 1

过滤如下/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\^|\!|x|hex|\(|\)|\+|select/i，把上一题的^给禁掉了

进行双重按位取反绕过

?id=~~1000

• intval(‘~~1000’)结果为0(和上题一样，利用PHP类型转换的规则)
• 在MySQL中，~表示按位取反操作，对于整数1000，两次按位取反结果仍是1000

web7 1

禁用/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\^|\!|\~|x|hex|\(|\)|\+|select/i

进行二进制绕过

?id=0b1111101000

这里仍然需要用到PHP的intval()截断漏洞

MySQL支持0b前缀表示二进制