Natas Wargame Level27 Writeup（SQL表的注入/溢出与截取）

前端：
```

natas27

Username:

Password:

View sourcecode

未启用会话/cookie

sourcecode：

0){
return True;
}
return False;
}

function validUser($link,$usr){

$user=mysql_real_escape_string($usr);

$query = "SELECT * from users where username='$user'";
$res = mysql_query($query, $link);
if($res) {
if(mysql_num_rows($res) > 0) {
return True;
}
}
return False;
}

function dumpData($link,$usr){

$user=mysql_real_escape_string($usr);

$query = "SELECT * from users where username='$user'";
$res = mysql_query($query, $link);
if($res) {
if(mysql_num_rows($res) > 0) {
while ($row = mysql_fetch_assoc($res)) {
// thanks to Gobo for reporting this bug!
//return print_r($row);
return print_r($row,true);
}
}
}
return False;
}

function createUser($link, $usr, $pass){

$user=mysql_real_escape_string($usr);
$password=mysql_real_escape_string($pass);

$query = "INSERT INTO users (username,password) values ('$user','$password')";
$res = mysql_query($query, $link);
if(mysql_affected_rows() > 0){
return True;
}
return False;
}

if(array_key_exists("username", $_REQUEST) and array_key_exists("password", $_REQUEST)) {
$link = mysql_connect('localhost', 'natas27', '');
mysql_select_db('natas27', $link);

if(validUser($link,$_REQUEST["username"])) {
//user exists, check creds
if(checkCredentials($link,$_REQUEST["username"],$_REQUEST["password"])){
echo "Welcome " . htmlentities($_REQUEST["username"]) . "!
";
echo "Here is your data:
";
$data=dumpData($link,$_REQUEST["username"]);
print htmlentities($data);
}
else{
echo "Wrong password for user: " . htmlentities($_REQUEST["username"]) . "
";
}
}
else {
//user doesn't exist
if(createUser($link,$_REQUEST["username"],$_REQUEST["password"])){
echo "User " . htmlentities($_REQUEST["username"]) . " was created!";
}
}

mysql_close($link);
} else {
?>

Username:

Password:

```
代码看起来存在很多注入点，但是都很难实现：一是通过了[mysql-real-escape-string](http://php.net/manual/zh/function.mysql-real-escape-string.php) 转义，想要绕过的话也很困难：$password使用''括起来了，无法用like wildchar和number绕过（[参见](http://www.sqlinjection.net/advanced/php/mysql-real-escape-string/) ）。

继续分析，总结流程如下：

Receive Input -> Check if user exist -> ifexist check credentials -> show data.

Receive Input -> check if user exist -> if dosen't -> create user.

同时，验证用户名/密码是否正确也仅仅是看返回数组是否>0

很容易联想到，如果我们插入一个和目标账目相同的行，即使我们不知道密码，function checkCredentials($link,$usr,$pass)的查找结果数组也会>0并返回true，接着function dumpData($link,$usr)就可能回显真正的用户与密码了。（注意这里只会回显一行，虽然dumpData里面是个while循环，但里层直接return print_r($row,true)了）

插入要实现两点：

1. function validUser($link,$usr)查找不到用户。
2. 存储后的username要和目标username相同，密码自己定。

这里还要参考两个mysql里面的知识点 ：

1. 字符串存储时若发生“溢出”，mysql会自动truncate到最大宽度。
2. 空格在varchar里面会被自动删除。

所以，正确的插入可以是这样“natas28+连续空格（此处超过64字节）+xxx”，密码随意，可以为空。（注意，后面的xxx是必须的，因为在mysql中'natas28'='natas28+空格'）,比较username时mysql并不会对提交的username进行truncate，所以判断用户名不存在，开始新建用户名和密码。一旦开始存储，就会发生溢出/截取，导致出现两个username同为‘natas28’的行。接着返回登录界面，输入natas28+密码。找寻操作会返回刚刚插入的数组（>0），所以查询成功，回显用户名和秘钥，这时回显的就是第一个nata28那行，即我们要获得的flag。

<html>
<head>
<!-- This stuff in the header has nothing to do with the level -->
</head>
<body>
<h1>natas27</h1>
<div id="content">
Welcome natas28                                !<br>Here is your data:<br>Array
(
    [username] =&gt; natas28
    [password] =&gt; JWwR438wkgTsNKBbcJoowyysdM82YjeF
)
<div id="viewsource"><a href="index-source.html">View sourcecode</a></div>
</div>
</body>
</html>

---

突然发现有一个利用开头“5分钟重置”来进行注入的例子，思路是一样的，实现方法不一样（即重置后先于正常的NATAs28注入进去）：

From：http://www.voidcn.com/blog/lyover/article/p-4915422.html

import requests
data={'username':'natas28','password':''}
auth=requests.auth.HTTPBasicAuth('natas27','55TBjpPZUUJgVP5b3BnbG6ON9uDPVzCJ')
while 1:
    re=requests.post("http://natas27.natas.labs.overthewire.org",auth=auth,data=data)
    if 'Wrong password' not in re.text:
        print(re.text)
        break