[SniperOJ](web) Inject again 注入 过滤左右括号 order by
0x00 题目概述
题目地址:http://web2.sniperoj.cn:10004/
拿到题,尝试注入,发现有过滤。
进行fuzz,发现过滤了 左右括号,分号,等号 ,还有一些查询关键字 。
在username有盲注。
为true时候返回 ‘admin’
同时题目提示flag就为admin的密码。
0X01 自己解题思路流程
尝试联合查询 : union select 1,2,3 #
发现有回显。
但是发现过滤了 'like' '=' 'where' 'username' 'password' 等一些关键字。
无果。
尝试盲注。
1. 不含有左右括号的函数。 在网上只找到两个 @@datadir ,@@user
没什么用。
2. 尝试绕过过滤。编码绕过等等。无效。
尝试把username构造成数组,看是否有有用的信息显示。得到如下。
Warning: strtolower() expects parameter 1 to be string, array given in/var/www/html/index.phpon line13
Notice: Array to string conversion in/var/www/html/index.phpon line22
Flag is the password of admin!
可知有一个 strtolower函数。但这些信息还是没有什么用。
卡壳。
想了挺久的,无果。
0x02 正确的思路
先按个人理解通俗介绍一下 order by 这个东西
select bulabulabula 什么的 接一个 order by , order by 1 表示在查询这个表返回多行结果的时候,按第一列的字段开头的值进行排序。数字在前,然后过了是小写,再过了就是大写字母。
order by 2 表示按第二列进行排序,从acsii小的值往上排序。如果只有两列,order by 3 则会报错,所以order by 也可以用来判断列的数量。
贴图如下:
表:
order by 2 查询结果如下(即按照username开头的第一个值进行排序,如果第一个相同则比较第二个):
好,上面的介绍只是对新手而言,对很多人来说都是废话。回到题目。
这题我看了源码。相关的语句如下:
过滤:
function filter($str){
$filterlist = "/\(|\)|username|password|where|case|when|like|regexp|into|limit|=|for|;/";
if(preg_match($filterlist,strtolower($str))){
die("Go away!");
}
return $str;
}
查询部分:
$sql = "select * from admin where username ='$username' and password = '$password'";
$res = $conn -> query($sql);
返回结果的部分:
if($res->num_rows>0){
$row = $res -> fetch_assoc();
if($row['id']){
echo $row['username'];
}
}else{
echo "The content in the password column is the flag!";
}
分析如下:
进行查询,返回结果中 ‘username’ 这一列的值。
paryload思路如下:
我们先看一个在数据库中的查询的例子:
这个查询,我们order by 3, 让查询结果 按照 password 进行排序。
可以看到,admin1 的password 为 'admin1' ,是 ‘a’开头,然而我们union select 是 1,2,'0' ,‘0’ 这个在‘a’ 的前面 ,这个返回 username 就是 我们的 2 了。
改一下。
‘b’ 比 'a'大 ,在他后面,这个时候返回第一行 username 的值就为 'admin1'。
那这题思路就很明显了。
我们 order by 3 ,让他按照password 进行排列。 union 1,2,3 在3的位置进行爆破。返回值会有一个临界变化状态。
一位一位来。
大概意思是这样。
0x03 脚本
直接粘贴格式会乱。截图如下。
运行结果截图:
0x04 总结
这题真挺有意思的 不看源码真写不出来
出题人思路很有新意,都没写过这种,点赞。(手动@王一航 大佬)
怎么说,对order by 有了挺深刻的印象,收获颇丰。
还是要好好看,好好学。
[SniperOJ](web) Inject again 注入 过滤左右括号 order by的更多相关文章
- [SniperOJ](web)图书管理系统 注入 源码泄露
0x00 题目概况 题目地址:http://www.sniperoj.cn:10000/ 这是一道注入题,存在git源码泄露,使用githack(freebuf有工具介绍)把源码脱下来,进行审计,然后 ...
- SQL注入(过滤空格和--+等注释符)
1.地址:http://ctf5.shiyanbar.com/web/index_2.php(过滤了空格和--+等注释符) 思路:确定注入参数值类型,直接输入单引号,根据报错信息确定参数值类型为字符型 ...
- sql注入过滤的公共方法
/// <summary> ///SQL注入过滤 /// </summary> /// <param name="InText">要过滤的字符串 ...
- 【web渗透技术】渗透攻防Web篇-SQL注入攻击初级
[web渗透技术]渗透攻防Web篇-SQL注入攻击初级 前言不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动.在网络中,数据库驱动的Web应用随处可见,由此而存在的S ...
- 【转载】C#防SQL注入过滤危险字符信息
不过是java开发还是C#开发或者PHP的开发中,都需要关注SQL注入攻击的安全性问题,为了保证客户端提交过来的数据不会产生SQL注入的风险,我们需要对接收的数据进行危险字符过滤来防范SQL注入攻击的 ...
- 好习惯: 用controller as 语法和$inject数组注入
angular好习惯1: 用controller as 语法和$inject数组注入 1) 像普通的JS类一样实现controller,摆脱$scope 2) 用.$inject数组注入相关模块,便于 ...
- 051_末晨曦Vue技术_处理边界情况之provide和inject依赖注入
provide和inject依赖注入 点击打开视频讲解更详细 在此之前,在我们描述访问父级组件实例的时候,展示过一个类似这样的例子: <google-map> <google-map ...
- CTFHub web技能树之RCE初步 命令注入+过滤cat
在一个大佬的突然丢了个题过来,于是去玩了玩rce的两道题 大佬的博客跳转链接在此->>>大佬召唤机 叫 命令注入 一上来就是源码出现,上面有个ping的地方 <?php $re ...
- Web API 依赖注入与扩展
与 MVC 类似, Web API 提供了System.Web.Http.Services.IDependencyResolver 接口来实现依赖注入, 我们可以很容易的用 Unity 来实现这个接口 ...
随机推荐
- windows设备相关位图与设备无关位图
windows支持两种位图格式,DDB(device-dependent bitmap),DIB(device-independent bitmap).设备相关位图用于windows显示系统中,其图像 ...
- v78.01 鸿蒙内核源码分析(消息映射篇) | 剖析LiteIpc(下)进程通讯机制 | 百篇博客分析OpenHarmony源码
百篇博客分析|本篇为:(消息映射篇) | 剖析LiteIpc(下)进程通讯机制 进程通讯相关篇为: v26.08 鸿蒙内核源码分析(自旋锁) | 当立贞节牌坊的好同志 v27.05 鸿蒙内核源码分析( ...
- [LeetCode]4.寻找两个正序数组的中位数(Java)
原题地址: median-of-two-sorted-arrays 题目描述: 示例 1: 输入:nums1 = [1,3], nums2 = [2] 输出:2.00000 解释:合并数组 = [1, ...
- Java线程的实现/创建方式
1.继承Thread类: Thread 类本质上是实现了 Runnable 接口的一个实例,代表一个线程的实例. 启动线程的唯一方法就是通过 Thread 类的 start()实例方法. start( ...
- springBoot-启动原理
注:SpringBoot版本 2.6.2 SpringBoot的入口是从SpringApplication.run()传入我们的主启动类开始 @SpringBootApplication public ...
- MySQL explain结果Extra中"Using Index"与"Using where; Using index"区别探究
问题背景 最近用explain命令分析查询sql执行计划,时而能看到Extra中显示为"Using index"或者"Using where; Using Index&q ...
- Another app is currently holding the yum lock解决方法
用yum安装包有时候会提示 ``` Another app is currently holding the yum lock; waiting for it to exit... The oth ...
- 如何处理大体积 XLSX/CSV/TXT 文件?
在开发过程中,可能会遇到这样的需求,我们需要从本地的 Excel 或 CSV 等文件中解析出信息,这些信息可能是考勤打卡记录,可能是日历信息,也可能是近期账单流水.但是它们共同的特点是数据多且繁杂,人 ...
- 【C# .Net GC】开篇
前言 自从.NET Core 3.0开始对根据自己具体的应用场景去配置GC ,让GC 发挥最好的作用..NET 5 改动更大,而且.NET 5整体性能比.net core 3.1高20%,并且在GC这 ...
- 【windows 操作系统】【CPU】用户模式和内核模式(用户层和内核层)
所有的现代操作系统中,CPU是在两种不同的模式下运行的: 注意以下内容来自微软: windows用户模式和内核模式 运行 Windows 的计算机中的处理器有两个不同模式:用户模式 和内核模式 . 用 ...