来自i春秋作者:万年死宅

目录

root@1~# Training: MySQL II的简单分析 root@2~# MySQL高级注射技巧load_file()来读文件 root@3~# MySQL高级注射技巧into otfile来getshell

root@1~# Training: MySQL II的简单分析

OK,昨天的Training:MySQL I给大家的启发很大吧。总之,对我启发很大,因为,我就是从这道题开始才真正的算是开始了解MySQL注射的(之前就是背注射语句,然后套。。。) 好了,我们不废话,直接来看这道题: 小宅的传送门 OK,大家可以先尝试解一下,然后在回来继续看这份教程,首先,我们还是先来看高亮的代码: 小宅的传送门 我们定位到HTML的Form表单(68~83行):

我们注意表单的method为POST,要传送的参数是username和password,于是定位到接收参数的地方(10~13行):

我们看到接收了POST参数username和password就调用了auth2_onLogin()函数,我们跟踪到该函数的定义处(36~66行):

我们来看函数的流程,可以发现于昨天的No.6paper极其相似,但是,有一处不同,就是认证不同了,我们来观察一下。首先是用于我们可控的SQL语句不同了(42行): 本次的SQL语句成了这样,接着,我们来看44~47行,这是和上道题一样的判断,只是SQL语句变了,但是还是一个道理:

if (false === ($result = $db->queryFirst($query)))

可以看到,还是调用$db->queryFirst()来执行SQL语句,并将查询结果赋值给$result,然后以这个整体(也就是这次查询的返回值)与false进行比较。当为false时自然就是说查询语句失败,例如,传入“xxx”,SQL语句则是:

SELECT * FROM users WHERE username='xxx';

若查询失败,则证明不存在xxx这条记录,若查询成功则证明存在xxx这条记录。这次的查询语句还有不同的是select的是*,所以,我们来看下users表的表结构(2~8行):

可以看到这个users表里有三个字段,分别是:“userid,username,password”。因为我们select的是*所以$result里就同时存在这三个与username同行的userid和password。 接着,我们来看重头戏,新的认证检测步骤(50~56行):

我们来看这个新增的步骤:

if ($result['password'] !== $password)

这个if语句的条件是查询结果里的与我们赋值的username同行的password是否与我们传入的password相同,如果不相同则执行if里的内容。 看起来简直天衣无缝,这样的验证从逻辑上来讲几乎没有问题了,所以,我们的突破口,绝不会在PHP代码上。 于是,我们就发现这次的SQL语句也是存在注射漏洞的,因为我们来看这个代码片段:

从图中可以看到,从SQL语句的生成到查询之间并未进行任何过滤,所以存在SQL注射。所以问题就出在我们可控的SQL语句上,我就提示到这里,大家先自己动动脑筋,想想怎么绕过认证。

我们得清楚,首先,我们不知道正确的username和password,而且不是以SQL的返回值来认证的,那怎么办?

这个,其实解决方案,我在No.5paper里讲过,就不知道大家有没印象了。

好了,大家想完之后呢,就来看正确的解题思路吧。 首先,既然我们不知道正确的用户名和密码,那我们就构造啊,什么意思呢?

大家记不记得UNION的神奇功效,假设我们如下SQL语句:

SELECT A FROM B WHERE C='$aaa'

假设在B表里有C等于111,但是我们不知道,那么如果我们构造如下$aaa的值会发生什么?

xxx' UNION SELECT 1#

这样一拼接就成了:

SELECT A FROM B WHERE C='xxx' UNION SELECT 1#'

所以A就成了1,对吧,嘿嘿,其实就是这么简单,只是由于我们对SQL的理解还不够深,才导致我们一时半会没想出解法。 于是我们在还去看题里的SQL语句:

SELECT * FROM users WHERE username='$username';

所以我们构造:

xxx' UNION SELECT 1,'test','123456'#

就拼接成了:

SELECT * FROM users WHERE username='xxx' UNION SELECT 1,'test','123456'#';

由于xxx这个username本就不存在,所以查询结果自然的变成了UNION的,于是userid变为1,username变为test,而password变为123456。

所以,我们username填"xxx' UNION SELECT 1,'test','123456'#",password填123456就OK了吗?我们试试就知道了,如下图:

我们点Login听天由命吧,哈哈:

密码错误!知道为什么吗?恩?嘿嘿,大家细想一个细节,在PHP程序中处理我们传入password的细节(在40行,哈哈):

知道问题出在哪里了吗?哈哈,对的,我们UNION的password一定要是输入的password的MD5值,当然,也可以是我们输入的password是UNION的password的MD5值。 我们来试试看(123456的MD5值是:e10adc3949ba59abbe56e057f20f883e)。把username填成:"xxx' UNION SELECT 1,'test','e10adc3949ba59abbe56e057f20f883e'#",把password填成123456,我们来看: 结果是: 成功!Bypass了新的认证方式!但是,这道题并没解出来,我们来看原题的题意:

要以admin的身份登录,而不是test,所以,我们得稍稍的改一下payload:

xxx' UNION SELECT 1,'admin','e10adc3949ba59abbe56e057f20f883e'#

我们再来看: 来,和我一起欢呼!yeah!(O了,别**了,我们还有事呢。)

root@2~# MySQL高级注射技巧load_file()来读文件

...

有关该文章更多内容可到 http://bbs.ichunqiu.com/thread-10359-1-1.html?from=paper 查看


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/27/