0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

完整记录整个fuzz的过程,加深对web sql注入fuzz的理解

电子工程师 来源:lq 2018-12-31 11:54 次阅读

前言

本文是在做ctf bugku的一道sql 盲注的题中运用了fuzz的思路,完整记录整个fuzz的过程,给师傅们当点心,方便大家加深对web sql注入 fuzz的理解。

进入主题

1、访问题目,是个典型的登录框

2、尝试输入admin/123456,提示密码错误,因此可以确定存在用户admin,这里可能会有师傅要爆破了,但这里题目要求sql注入,我们就按照预期解来吧。

3、我自己写了个简单的fuzz burp插件,先将登陆请求包发送到插件扫描,可以看到是存在盲注的,payload的形式为:

4、fuzz

(1)从payload的形式可以猜测题目应该是过滤了注释符(--+和#)

(2)fuzz一遍特殊字符,看看过滤了什么

当存在过滤的字符时,响应包是这样的

因此可以作为fuzz的判断(当然有些waf是静默waf,就是照样接收你的数据但自己做了处理,返回正常页面,这种fuzz的判断有时候就需要设计下你的payload,这种在以后的文章继续讨论)

fuzz特殊字符,结果如下,可以看到长度为370的是被wa了的,过滤了相当多的字符,特别是内联注释 注释符 空格 %0a %0b %0d %a0这些比较常用的绕过关键组件,尤其注意过滤了逗号

(3)fuzz一遍关键字,过滤了and or order union for 等等,因此取数据常用的mid( xx from xx for xx)就不能用了,之前逗号也被过滤了也就不能用mid(xx,1,1)。

(4)fuzz函数名和操作符(由于插件的扫描结果没有过滤sleep,直觉上是没有对函数做过滤)

不出意外,确实是只有包含关键字or and等的函数被wa了,其他基本没有,其实这里我们也可以联想到跑表经常要用的informationschema表是存在or关键字的,因此后面构造语句的时候也就不能直接用informationschema

(5)尝试用时间盲注跑数据

if(1=1,sleep(5),0)

由于不能用逗号需要变为

CASEWHEN(1=1)THEN(sleep(5))ELSE(2)END

但空格也被过滤了,需要用括号代替空格(/!/ 空格 tab %a0 %0d%0a均被过滤了)

(CASEWHEN(1=1)THEN(sleep(1))ELSE(1)END);

最后本地测试的时候发现case when之间不能用括号,做一下字符fuzz,从%00到%ff

可以看到结果是确实不行,并不能产生延时(有的直接被wa,有的没被wa但sql语句无法生效),因此基本可以确认不能用时间盲注跑数据,于是我们只能考虑布尔盲注

(6)尝试布尔盲注

由于无法使用if或者case/when,只能使用题目自带的bool盲注做逻辑判断(=) 比如我们一开始就注意到存在admin用户,改造插件的payload: '+sleep(5)+' (注意把+换为%2b)

admin'+1+'(false,注意把+换为%2b)admin'+0+'(true,注意把+换为%2b)

这里是mysql的一个特性,可能有不明白的师傅,可以做下实验

select*fromuserwherename='admin'+1+''andpasswd='123456';(为false)==>提示用户名错误select*fromuserwherename='admin'+0+''andpasswd='123456';(为true)==>提示密码错误

前者为1后者为0,先对右边的等式做运算,发生强制转换,结果为数字,然后再和左边的admin字符做比较,又发生了强制转换,因此出现1和0的区别。

这样子我们就解决了布尔盲注的判断了

(7)解决下跑数据的问题

这里不能用mid(xxx,1,1)也不能用mid(xxx from 1 for 1),但查手册发现可以使用mid(xxx from 1),表示从第一位开始取剩下的所有字符,取ascii函数的时候会发生截断,因此利用ascii(mid(xxx from 1))可以取第一位的ascii码,ascii(mid(xxx from 2))可以取第二位的ascii,依次类推

(8)burp跑数据

a.判断passwd字段的长度: 跑出长度为32

(这里可以猜字段,根据post请求包中的passwd猜测数据库的字段应该也是passwd,这样就可以不用去跑information_schema,直接在登陆查询语句中获取passwd)

admin'-(length(passwd)=48)-'

b.跑第一位

这里的payload我用的不是上面的,从最后面开始倒着取数据然后再reverse一下,那时候做题没转过弯,其实都一样的,用下面的payload的好处是假如ascii不支持截断的情况下是不会报错的(用于其他数据库的时候)

=admin'-(ascii(mid(REVERSE(MID((passwd)from(-1)))from(-1)))=48)-'

用这一个也可以的

=admin'-(ascii(mid(passwd)from(1))=48)-'

重复上述操作修改偏移,即可获取32位密码 005b81fd960f61505237dbb7a3202910 解码得到admin123,登陆即可获取flag,到这里解题过程结束。

总结

1、上述用到的fuzz字典均可在sqlmap的字典以及mysql官方手册中收集

2、这里仅仅是常规的fuzz,但大多数fuzz其实都是相通的,主要是fuzz的判断,fuzz的位置,fuzz payload的构造技巧等等

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 数据
    +关注

    关注

    8

    文章

    6884

    浏览量

    88817
  • SQL
    SQL
    +关注

    关注

    1

    文章

    759

    浏览量

    44063
  • Fuzz
    +关注

    关注

    0

    文章

    9

    浏览量

    7425

原文标题:SQL 注入常规 Fuzz 全记录

文章出处:【微信号:DBDevs,微信公众号:数据分析与开发】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    sql注入原理及预防措施

    SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。对于很多网站都有
    发表于 03-21 14:47

    基于Big Muff类的fuzz

    描述这是基于 Big Muff fuzz 类的 fuzz。Morbid Fur 移除了 Big Muff 的音调控制,并调整晶体管和二极管以获得响亮而原始的音调。
    发表于 07-06 07:16

    ZVEX Masotron Fuzz的资料分享

    描述ZVEX Masotron Fuzz
    发表于 07-12 07:22

    Skreddy Fuzz Driver资料分享

    描述Skreddy Fuzz Driver
    发表于 08-11 06:00

    基本音频Zippy Fuzz资料分享

    描述基本音频Zippy Fuzz早期的 fuzz box 旨在模仿萨克斯管的声音。Zippy 将允许您以非常芦苇的绒毛音调引导您内心的 Coltrane。萨克斯和性感。在较低的设置下,一个美妙的音乐
    发表于 08-12 07:47

    HUAWEI DevEco Testing注入攻击测试:以攻为守,守护OpenHarmony终端安全

    Fuzz测试的原理和测试执行过程的介绍,让你深入了解DevEco Testing注入攻击测试的背后原理。二、Fuzz测试面对网络黑客对漏洞的恶意攻击,相较于被动应对外部的暴力破解,安
    发表于 09-15 10:31

    sql注入攻击的基本原理解

    SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,
    发表于 11-17 15:14 1.5w次阅读
    <b class='flag-5'>sql</b><b class='flag-5'>注入</b>攻击的基本原<b class='flag-5'>理解</b>析

    Fuzz Face类型吉他效果电路-吉他法兹效果

    电子发烧友网站提供《Fuzz Face类型吉他效果电路-吉他法兹效果.zip》资料免费下载
    发表于 07-05 10:14 6次下载
    <b class='flag-5'>Fuzz</b> Face类型吉他效果电路-吉他法兹效果

    围绕CMOS反相器构建的Big Muff fuzz

    电子发烧友网站提供《围绕CMOS反相器构建的Big Muff fuzz.zip》资料免费下载
    发表于 07-06 11:16 2次下载
    围绕CMOS反相器构建的Big Muff <b class='flag-5'>fuzz</b>

    基于Big Muff fuzz类的fuzz

    电子发烧友网站提供《基于Big Muff fuzz类的fuzz.zip》资料免费下载
    发表于 07-07 09:33 0次下载
    基于Big Muff <b class='flag-5'>fuzz</b>类的<b class='flag-5'>fuzz</b>

    Greeny(Fuzz Face OpAmp仿真器)开源

    电子发烧友网站提供《Greeny(Fuzz Face OpAmp仿真器)开源.zip》资料免费下载
    发表于 07-27 15:36 4次下载
    Greeny(<b class='flag-5'>Fuzz</b> Face OpAmp仿真器)开源

    基本音频Zippy Fuzz开源

    电子发烧友网站提供《基本音频Zippy Fuzz开源.zip》资料免费下载
    发表于 07-27 14:37 1次下载
    基本音频Zippy <b class='flag-5'>Fuzz</b>开源

    重现传奇的Dallas Arbiter Fuzz声音的踏板

    电子发烧友网站提供《重现传奇的Dallas Arbiter Fuzz声音的踏板.zip》资料免费下载
    发表于 07-27 11:20 1次下载
    重现传奇的Dallas Arbiter <b class='flag-5'>Fuzz</b>声音的踏板

    ZVEX Masotron Fuzz开源分享

    电子发烧友网站提供《ZVEX Masotron Fuzz开源分享.zip》资料免费下载
    发表于 08-22 16:48 1次下载
    ZVEX Masotron <b class='flag-5'>Fuzz</b>开源分享

    sql注入漏洞解决方法有哪些?

    什么是sql注入SQL注入(SQLi)是一种执行恶意SQL语句的注入攻击。攻击者可能会利用
    的头像 发表于 10-07 17:29 4736次阅读
    <b class='flag-5'>sql</b><b class='flag-5'>注入</b>漏洞解决方法有哪些?