sql-labs29-37

总结了sql-labs中HTTP参数污染和宽字节注入的一些关卡

Less29-37

Less-29

首先页面信息展示的是“这个页面受到世界上最好的防火墙的保护” n

经过一系列盲注,发现都没有什么特别的地方

看一下源码,发现这关有隐藏的登录页面

输入id=1

输入id=1’

发现直接跳转到另外一个页面,尝试一系列盲注,都被防火墙拦截下来

看一下login.php的源码

首先,我们输入的请求信息以字符串的方式被截取下来

然后这个字符串被以&为分隔符组合成数组

并且如果有一个元素是id=(某个值),这个值被截取下来赋值给id_value

并判断这个值,如果不是完全由数字组成的,则跳转到被防火墙拦截页面

这个处理实际上就是服务器处理数据的原理

http服务器实际上有两个,当客户端发送请求数据给服务器时,数据会先经过第一个tomcat服务器,tomcat服务器先处理第一个请求参数,再将数据交给第二个apache服务器,apache服务器处理最后一个请求参数,将结果返回给tomcat,tomcat再返回给客户端

也就是说当我们输入/login.php?id=1&id=2,最后服务器处理的是id=2这个参数,也就是最后一个参数

这关的代码实际上就是模仿在tomcat服务器设置防火墙,从而进行数据过滤,防止攻击

所以我们就可以用第一个参数骗过服务器,通过最后一个参数进行sql注入,这就属于hpp,也就是http参数污染漏洞攻击

第一个参数输入纯数字,第二个参数进行注入

剩下的就跟之前相同了

Less-30

这题跟上题区别在于id被双引号包裹,其他方法跟上题相同

Less-31

这题id被(“”)包裹,其余和前两题一样

Less-32

输入id=1

再输入id=1’

发现我们输入的值被经过处理了

查看源代码

Preg_quote()这个函数作用是在正则表达式中将特殊字符转义,比如一些在正则表达式中具有特殊意义的字符*-?等,如果不加以转义会被认为是特殊字符无法替换

还有php字符串中一个反斜杠应该写成’\’,将一个反斜杠加以转义,使其成为真正意义上的反斜杠而不是转义字符

所以首先检查字符串,如果其中有一个反斜杠,就将其替换成三个反斜杠,不要纠结为什么是三个,这是官方文档的规定,简单来说就是我们输入一个反斜杠时将这个反斜杠转义就是了

第二次检查字符串中如果有’则被替换成\’,就是将单引号转义

第三次就是将双引号转义

所以对我们输入的单引号,反斜杠和双引号进行了转义

这个函数的作用就是设置mysql的set-character-client 和 set-character-connection 和

Set-character-results三个参数的值设置为gbk编码

很容易联想到宽字节注入

我们在客户端输入id的值后,经过php服务器提交给mysql,mysql将接受的数据经过set-character-client的编码方式进行编码,再用set-character-connection的编码方式进行编码,然后进入数据库和数据表,根据库和表的默认编码方式进行编码,再将查询结果根据set-character-results编码返回给客户端

而gbk编码方式会将字符串中的两个字符看作是一个汉字,前提是前一个字符的ascii码大于128,所以我们输入id=%df%27时,经由过滤变成’%df%5c%27’,然后经过mysql的编码,认为%df%5c是一个汉字,从而造成单引号不被转义,造成前面单引号不闭合,从而注入

所以只要解决单引号被转义的问题,就与前面关卡没什么区别了

下面爆库

爆表

爆列

这里注意如果输入table_name=’users’,单引号会被转义,可以把users转成十六进制,从而避免使用单引号

延时注入

报错注入

Less-33

这关与上一关区别在于使用了addslashes这个函数

这个函数可以将单引号,双引号和反斜杠转义

实际上与上一关功能相同,只不过这个函数可以实现上一关的三个替换功能

一样在单引号前面加上%df即可正常注入

Less-34

这关用了POST提交表单的方法,依然对单引号,双引号和反斜杠有转义

查询语句如下:

与之前关卡区别在于,之前是GET方式提交的请求,而我们输入的GET参数是会经过url解码的,而POST则不会经过url解码,所以我们如果按照之前的方法输入username=admin%df’,发现%df不会被解码

所以不如我们替它解码,%df经过url解码后为字符�,所以我们可以输入admin�’

果然有报错了

那么接下来又思考如何注出用户名和密码,因为username列的数据类型是字符串,不像是之前关卡id列的数据类型是整型,所以此处我们用万能密码

Username=�’ or 1=1#

发现成功注出了用户名和密码

结合查询语句

Select * from users where username=’’ and password=’’ limit 0,1

Select * from users where username=’ �\’ or 1=1

Gbk编码将�和\看做一个汉字,or语句逻辑运算,因为1=1恒为1所以条件恒为真,注出users表中所有用户名和密码

在mysql命令行验证一下

那么要注出下面几行的用户名和密码我们只需要加个limit n,1就ok了

其他注入和之前一样

爆库

爆表

爆列

报错注入

这里如果用and会导致前面为假而后面不执行,所以改成or

延时注入

关于延时注入,之前碰到的都是能前面id=某个数字能查到,然后根据某个判断条件执行sleep进行延时注入

而本关注入点username数据类型是字符串,也就是说必须跟列下数据完全一样,才能查的到值,而本关我们要注入,则必须要过滤转义字符从而使单引号逃逸,也就是我们过滤后username的值肯定不可能跟表里的值有相同的,即不能保证前面的值为真,要延时注入,就得用or sleep,or的执行条件前面为前面的条件为假

先查一下users表中又十四行数据

那我们进行延时注入

可见sleep了14秒,因为mysql要对每行数据进行查询,判断username有没有等于1的,如果没有,则执行sleep 1秒,总共要查询14行,14行都没有符合的,所以sleep了总共14秒

而如果是and的话,则是查询到数据才会执行sleep 1秒

在看看之前的过滤单引号的关卡构造闭合单引号的注入语句

为什么能查出所有数据

我觉得应该这样划分(username=‘admin’ and sleep(5)) or ‘1’=’1’,先查有没有等于admin的,如果没有不执行sleep,然后会执行or,执行结果为1.

如果有等于admin的,则执行sleep,但在要执行时,执行了or语句,结果1,不延迟

所以最终结果不管username的值有没有出现在表中,结果都为1,不会执行sleep

要进行注入的话,就必须将or换成and

所以本关延迟注入如图

Less-35

试一下id=1%df’%23

发现报错

说明id没有任何包裹,所以本关也不需要宽字节注入,相当于之前的关卡了

Less-36

这关跟之前区别在于转义函数用了mysql_real_escape_string()

但由于我们set names gbk,所以还是能用宽字节注入的方法,跟之前关卡一样

下面总结一下再使用addslashes和mysql_real_escape_string如何防御宽字节注入

Less-37

跟之前post关卡一样,只是用了mysql_real_escape_string

HTTP参数污染参考链接:http://www.freebuf.com/articles/web/5908.html

宽字节注入参考链接:https://mp.weixin.qq.com/s/WjGaDxwaBkOzCe2BWGak2A

文章作者: Somnus
文章链接: https://nikoeurus.github.io/2018/07/09/sql-labs29-37/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Somnus's blog