zhe题目:[GXYCTF2019]BabySQli1
题型:SQL注入
一、测试
给出登录框一般的思路是考虑正常输入一个用户名和密码,观察登录的结果,再进行攻击判断,不要直接SQL注入,了解登录框的正常流程是前期非常重要的一点!
这里输入用户名为admin,密码为admin时,页面仅有一个wrong pass,说明咱们的用户名输入正确密码输入错误。这里额外补充一点:在设计这种登录框时,登录失败得信息最好不要写得明显,因为这样攻击者可以轻松找到爆破点。承接上面的信息,这里一般思路是爆破密码或者进一步进行信息收集——查看网页源代码,有些网站会把一些关键信息暴露在前端页面中。这就有利于攻击者进行攻击
这里我们可以看到网站给出了一串加密文字,一般有大写字母和数字且没有等号的很有可能是Base32加密,经过解密后还有Base64解密,再解密后发现给出的是一段SQL语句,用作搜索当username存在时从user表中查询所有信息,这里很显然产生一个SQL注入的漏洞
二、利用漏洞
那么按照一般的SQL注入思路是:闭合点已经找到,接下来利用order by找到数据表的列数
输入1' order by 3#时发现页面回显don't hack me!
这里猜测是设置了黑名单对SQL注入的关键词进行了过滤,利用大写进行绕过
确定为三列,利用联合注入的方法进行攻击,测试字段的注入点位置
1' union select 1,'admin',3#
发现在2处可以得到正常的账户,其他回显都是账户错误,推断出2处是admin用户
根据上述过程可以猜测3列应该为密码,这里输入发现没啥变化,查看了大佬的文章后发现,这里后端的数据库应该是将密码进行了MD5加密处理,而我们使用的联合注入创建的虚拟密码是无法直接加密的,因此这里构建payload时,就需要将密码进行加密处理再上传
这里密码填自己构造的root,3处填MD5加密后的数据
1' union select 1,'admin','63a9f0ea7bb98050796b649e85481845'#
root
总结
这题是很简单的SQL注入,考察的是基本功和对联合查询的理解
这里有两点需要特别注意:
1. 不管是CTF题目还是实际的挖洞一定要先把它的流程走一遍看它是怎么玩的,再考虑怎么攻击,前期的信息收集十分重要!
2.数据库的密码一般是通过MD5加密处理的,在注入的时候需要特别注意