Training: MySQL I (MySQL, Exploit, Training)
题目描述
This one is the classic mysql injection challenge.
Your mission is easy: Login yourself as admin.
Again you are given the sourcecode, also as highlighted version.Enjoy!
这是经典的mysql注入挑战。
您的任务很简单:以管理员身份登录。
再次为您提供了源代码,也有高亮显示版本。
享受!
解
首先我们可以选择查看源代码,然后就可以看到一堆看不懂的用php+HTML写的代码。
<?php
/* TABLE STRUCTURE
CREATE TABLE IF NOT EXISTS users (
userid INT(11) UNSIGNED AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
password CHAR(32) CHARACTER SET ascii COLLATE ascii_bin NOT NULL
) ENGINE=myISAM;
*/
# Username and Password sent?
if ( ('' !== ($username = Common::getPostString('username'))) && (false !== ($password = Common::getPostString('password', false))) ) {
auth1_onLogin($chall, $username, $password);
}
/**
* Get the database for this challenge.
* @return GDO_Database
*/
function auth1_db()
{
if (false === ($db = gdo_db_instance('localhost', WCC_AUTH_BYPASS1_USER, WCC_AUTH_BYPASS1_PASS, WCC_AUTH_BYPASS1_DB))) {
die('Database error 0815_1!');
}
$db->setLogging(false);
$db->setEMailOnError(false);
return $db;
}
/**
* Exploit this!
* @param WC_Challenge $chall
* @param unknown_type $username
* @param unknown_type $password
* @return boolean
*/
function auth1_onLogin(WC_Challenge $chall, $username, $password)
{
$db = auth1_db();
$password = md5($password);
$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
if (false === ($result = $db->queryFirst($query))) {
echo GWF_HTML::error('Auth1', $chall->lang('err_unknown'), false); # Unknown user
return false;
}
# Welcome back!
echo GWF_HTML::message('Auth1', $chall->lang('msg_welcome_back', htmlspecialchars($result['username'])), false);
# Challenge solved?
if (strtolower($result['username']) === 'admin') {
$chall->onChallengeSolved(GWF_Session::getUserID());
}
return true;
}
?>
<form action="index.php" method="post">
<table>
<tr>
<td><?php echo $chall->lang('username'); ?>:</td>
<td><input type="text" name="username" value="" /></td>
</tr>
<tr>
<td><?php echo $chall->lang('password'); ?>:</td>
<td><input type="password" name="password" value="" /></td>
</tr>
<tr>
<td></td>
<td><input type="submit" name="login" value="<?php echo $chall->lang('btn_login'); ?>" /></td>
</tr>
</table>
</form>
可以通过f12的开发工具知道最后部分是我们要进行注入的提交栏。不过这都不重要
然后就可以来看php的代码了:首先是开头部分,从开头的注释部分也可以知道,数据库的结构,一个users表,有三个参数分别是userid,username,password。程序进入最开始的if语句就是判断Username和Password是否发送,然后进入auth1_onLogin函数并传入了三个变量(chall、username、password)。
/* TABLE STRUCTURE
CREATE TABLE IF NOT EXISTS users (
userid INT(11) UNSIGNED AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL,
password CHAR(32) CHARACTER SET ascii COLLATE ascii_bin NOT NULL
) ENGINE=myISAM;
*/
# Username and Password sent?
if ( ('' !== ($username = Common::getPostString('username'))) && (false !== ($password = Common::getPostString('password', false))) )
{
auth1_onLogin($chall, $username, $password);
}
再看看auth1_onLogin函数
/**
* Exploit this! * @param WC_Challenge $chall
* @param unknown_type $username
* @param unknown_type $password
* @return boolean
*/
function auth1_onLogin(WC_Challenge $chall, $username, $password)
{
$db = auth1_db();
$password = md5($password);
$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
if (false === ($result = $db->queryFirst($query))) {
echo GWF_HTML::error('Auth1', $chall->lang('err_unknown'), false); # Unknown user
return false;
}
# Welcome back!
echo GWF_HTML::message('Auth1', $chall->lang('msg_welcome_back', htmlspecialchars($result['username'])), false);
# Challenge solved?
if (strtolower($result['username']) === 'admin') {
$chall->onChallengeSolved(GWF_Session::getUserID());
}
return true;
}
在auth1_onLogin函数一开始又调用了auth1_db函数并且将返回值给了db变量,分析auth1_db函数可以知道这是一个连接数据库的一个函数(通过函数开头注释部分也能知道),就是一个有管理员的用户名密码的数据库。然后对password进行了md5加密,还将一条sql的查询用户名和密码的语句写进query = “SELECT * FROM users WHERE username=’$username’ AND password=’$password’”,这个query就是我们要进行注入的关键。然后就对我们的username和password进行查询看是否在数据库的user表中即执行query中的查询语句,如果不在就返回不知道这个用户,这里可以随便输入一个试试。
知道了是执行query中的sql语句就能够对其进行重新构造,使where后面的password的判断被绕过就行。通过后面代码可以知道username是admin,就可以利用sql万能密码:’ or 1=‘1进行绕过。即用户名输入admin’ or 1=‘1,使query中查询语句变成SELECT * FROM users WHERE username=‘admin’ or 1=‘1’ AND password=’$password’,根据or的规则只要前者为真就不会再对后面进行检查,所以只要确保admin在username中,后面的1=‘1’ password=’$password’都不会再进行检查。
username:admin’ or 1 = '1
password: 任意或者省略