是个典型的登录框SQL注入题
在源码上还有hint
首先进行注入前的尝试,观察是否有报错情况,或者是有waf:
正常的输入,分2种情况:
用户名正确,显示密码错误password error
用户名错误,显示无此用户no such user!
猜测验证用户名和验证密码是分步进行的,语句如下:
select uname from user where uname='xxx'select uname,pwd from user where uname='xxx' and pwd='xxx'
存在注入的情况,显示naive
,证明是有waf的:
简单测试了一下waf,发现过滤了or and union select from limit 以及空格,注释符
,妈耶waf还挺严,之后不想通过手动测试,于是采用burpsuite进行Fuzz测试。
Burpsuite Fuzzing主要是通过Burpsuite Intruder模块
,这好比是一把枪,通过特定设置把子弹(payload)
射向目标(target-site)
。
可是子弹从哪来?我们在这之前要做一些准备工作:
Fuzzdb: https://github.com/fuzzdb-pro...
这是一个fuzz测试的payload库,上面有大量的测试payload,非常实用,我们本次sql注入就用到它。
我们使用这个payload就可以了 /attack/sql-injection/detect/xplatform.txt
然后打开Burpsuite,可以先开代理抓一个正常请求包,然后转到Intruder模块,进行如下操作:
选中positions选项卡,选中uname的值部分admin
,然后点击右侧的add§
,这样uname的值就会被标记为payload的加载位置,其余部分就不需要标记了。
选中payloads选项卡,点击图中所示的按钮加载刚刚提到的xplatform.txt
,这样payload就被加载进去了。
选中options选项卡,设置请求线程数、重试次数、超时时间等等信息,不一一列举了。
最后点击上方菜单Intruder -> Start attack
,启动!
等待fuzz完成后,得到如下结果:
根据返回包长度可以分辨不同的情况:202是password error
,200是no such user!
,还有189是naive
。
因此可以发现有可以利用的地方,第42个请求包的返回用户名正确,证明已经绕过waf。
假如并没有可以利用的payload,可以再观察189的包看看哪些字段是被ban掉的,从而找到可以利用的字段。结合前期手测的情况和fuzz的结果,可以判断:可使用:
# || && , ascii() left() right() length()
不可使用:
空格 -- or and union select from limit mid() substr() substring()
构造payload如下,xxx为payload,当xxx为真时返回password error
,而xxx为假时返回no such user
,这就构成了一个bool型注入。
uname='||xxx||'&pwd=123
下一步就可以开始实施注入。
这一步开始,我们就通过bool盲注进行爆破pwd
字段,脚本跑起来
通过length()
获得pwd
字段长度
最终获得length(pwd)=30
当你把握不准的时候,想到hint的提示,通过 length(uname)=5
验证你的payload,下面也一样。
由于mid() substr()
被ban了,只能通过left() right()
进行字符串截断,然后逐位爆破30位的pwd
最后得到30位密码,登录进去,getflag
PS:没有写多线程,爆破速度比较慢,之后考虑改进一下PPS:之后还要总结下各类函数组合使用方式,比如
mid()=substr()=right(left())
完整脚本如下:
利用burpsuite进行fuzz测试,大大提高了测试效率,也能快速定位注入点,这方面在平时的赛题也比较实用,关键就在于找到好用的fuzz payload。
灵活使用各类sql函数,找到没有被ban的函数进行构造从而实现爆破,如果遇到其他类型waf还要进行改写。
据说bugkuCTF有类似的一道题 SQL注入2,过去比较一下区别
联系客服