CTF网络安全大赛web题目:just_sqli

这道题目是bugku的web题目

题目的 描  述: KosenCTF{}

原文链接: CTF网络安全大赛web题目:just_sqli - 红客网-网络安全与渗透技术

题目Web源代码:

<?php

$user = NULL;
$is_admin = 0;

if (isset($_GET["source"])) {
    highlight_file(__FILE__);
    exit;
}

if (isset($_POST["username"]) && isset($_POST["password"])) {
    $username = $_POST["username"];
    $password = $_POST["password"];

    $db = new PDO("sqlite:../database.db");
    $db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    try {
        $db->exec("CREATE TABLE IF NOT EXISTS users (username TEXT UNIQUE, password TEXT, is_admin BOOL);");

        $q = "username, is_admin FROM users WHERE username = '$username' AND password = '$password'";
        if (preg_match("/SELECT/i", $q)) {
            throw new Exception("only select is a forbidden word");
        }

        $rows = $db->query("SELECT " . $q, PDO::FETCH_ASSOC);
        foreach ($rows as $row) {
            $user = $row["username"];
            $is_admin = $row["is_admin"];
        }
    }
    catch (Exception $e) {
        exit("EXCEPTION!");
    }


}

?>

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>Just SQLi</title>
</head>
<body>
    <h1>Just SQLi</h1>    
    <div><a href="?source=1">view source</a>

    <?php if ($user) { ?>
    <div>Nice Login <?= $user ?></div>
        <?php if ($is_admin) { ?>
        <div>And Nice to Get the Admin Permission!</div>
        <div> <?= include("../flag.php"); ?></div>
        <?php } ?>
    <?php } ?>

    <form action="" method="POST">
        <div>username: <input type="text" name="username" required></div>
        <div>password: <input type="text" name="password" required></div>

        <div>
            <input type="submit" value="Login">
        </div>
    </form>

</body>
</html>

从给定的PHP代码中,有几个关键的安全问题可以被利用来进行SQL注入。但首先,需要注意的是代码中尝试使用preg_match来防止"SELECT"关键词的使用,然而这种尝试是无效的,因为它并没有在构造完整的SQL查询时应用此检查。

下面是一个可能的SQL注入攻击步骤,来绕过身份验证并获取管理员权限:

原文链接: CTF网络安全大赛web题目:just_sqli - 红客网-网络安全与渗透技术

  1. 用户名注入 :由于用户名和密码直接插入到SQL查询中,我们可以尝试在用户名字段中注入SQL代码。但是,由于preg_match检查,我们不能直接包含"SELECT"。但我们可以尝试其他方法,如注释掉原查询的剩余部分。
  2. 构造注入语句 :在用户名字段中,我们可以尝试使用SQL注释(-- 在SQLite中是有效的)来截断原始查询的其余部分,并附加我们自己的查询条件。由于代码尝试直接构造一个片段并添加到SELECT查询中,我们可以利用这一点。
  3. 绕过preg_match :由于preg_match只检查$q变量(这只是一个片段,不是完整的SQL查询),我们可以构造一个不包含"SELECT"的片段,但在实际执行时,它将成为完整的SELECT查询的一部分。

下面是一个可能的注入攻击示例(请注意,这只是一个示例,实际情况可能有所不同):

在用户名字段中输入:

' OR '1'='1' --

在密码字段中输入任意值(例如"password123")。

提交表单后,生成的SQL查询将是:

SELECT username, is_admin FROM users WHERE username = '' OR '1'='1' --' AND password = 'password123'

由于--是SQL注释,所以查询的剩余部分(包括密码验证部分)将被忽略。这样,查询将返回表中的所有用户,无论他们的密码是什么。

然而,为了获取管理员权限,我们可能还需要进一步利用其他漏洞或尝试其他注入方法,因为此查询仅返回用户名和is_admin字段,而不直接修改它们。

但请注意,这种攻击是违法的,并且只应在法律允许和道德接受的环境(如安全培训或测试环境)中进行。在实际环境中尝试此类攻击可能导致法律责任和其他后果。

原文链接: CTF网络安全大赛web题目:just_sqli - 红客网-网络安全与渗透技术

我们开始对这个题目进行sql注入吧

一开始我们先盲注,构造查询语句

admin'or 1=1 -- 

发现行不通

接着我们开始联合查询

admin'union select 1,2#

发现还是不行

看了下代码, preg_match("/SELECT/i", $q 这个对select进行了处理。

接着我们开始下一个方法就是用values进行替换select就行了

admin'union values('password',1) -- 

也是成功拿到答案

红客网(blog.hongkewang.cn

原文链接:
CTF网络安全大赛web题目:just_sqli - 红客网-网络安全与渗透技术

相关推荐
懒大王爱吃狼19 分钟前
Python教程:python枚举类定义和使用
开发语言·前端·javascript·python·python基础·python编程·python书籍
瓜牛_gn21 分钟前
mysql特性
数据库·mysql
奶糖趣多多1 小时前
Redis知识点
数据库·redis·缓存
CoderIsArt2 小时前
Redis的三种模式:主从模式,哨兵与集群模式
数据库·redis·缓存
逐·風4 小时前
unity关于自定义渲染、内存管理、性能调优、复杂物理模拟、并行计算以及插件开发
前端·unity·c#
师太,答应老衲吧4 小时前
SQL实战训练之,力扣:2020. 无流量的帐户数(递归)
数据库·sql·leetcode
Devil枫5 小时前
Vue 3 单元测试与E2E测试
前端·vue.js·单元测试
尚梦5 小时前
uni-app 封装刘海状态栏(适用小程序, h5, 头条小程序)
前端·小程序·uni-app
Channing Lewis5 小时前
salesforce case可以新建一个roll up 字段,统计出这个case下的email数量吗
数据库·salesforce
GIS程序媛—椰子6 小时前
【Vue 全家桶】6、vue-router 路由(更新中)
前端·vue.js