[极客大挑战 2019]EasySQL 1
- 解题POC
- 一、解题思路之暴力破解
- 1. 弱口令
- 2. 暴力破解
- 二、解题思路之万能密码
- 1. 什么是万能密码
- 2. 测试过程
解题POC
直接点击登录获取flag
flag{62f0d2ca-579e-450e-941f-5f7c23a8baf7}
一、解题思路之暴力破解
这题是万能密码,所以暴力破解只是浅浅的讲一下:
1. 弱口令
看到登录框,第一步肯定是想到了弱口令,常见的弱口令如下所示:
网站后台:
admin、manager、admin123、admin888、admin666
不同的后台类型拥有不同的弱密码:
数据库(phpmyadmin)
账号:root
密码:root、root123、123456
tomcat
账号:admin、tomcat、manager
密码:admin、tomcat、admin123、123456、manager
jboss
账号:admin、jboss、manager
密码:admin、jboss、manager、123456
weblogic
账号:weblogic、admin、manager
密码:weblogic、admin、manager、123456
当然弱口令也是可以自动生成的,弱口令生成一般都是根据某人的习惯生成,弱口令密码生成器
这个生成器需要了解某些人的习惯,这和社工有关了
当然这题不是弱口令,只是第一步思路是弱口令
2. 暴力破解
暴力破解一般需要没有验证码,token值验证等,进行暴力破解一般使用burpsuit:(后台网站一般有超级管理员admin,所以只需要爆破密码):
- 设置代理:
- 抓取数据包
3. 暴力破解:
找到length长度不一样的,
response正确和错误页面不同,字节数也不同,当然这题也不是暴力破解
二、解题思路之万能密码
1. 什么是万能密码
要理解万能密码,先看如下代码所示:
<?php
$con = mysqli_connect("localhost","root","901026","loophole"); //数据库连接
if(mysqli_connect_error())
{
echo "连接错误" . mysqli_connect_error();
}
$sql="SELECT * FROM sql_test WHERE username='".$_GET["username"]."' AND password='".$_GET["password"]."'";
echo $sql."<br/>"; //拼接的sql语句
//执行sql语句
$result = mysqli_query($con,$sql); // 语句执行结果
$rowcount=mysqli_fetch_row($result);
if($rowcount!=0){ //只判断语句是否执行成功
echo "OK";
}else{
echo "ERROR";
}
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>SQL injection test</title>
</head>
<body>
<form class="" action="" method="GET">
<label for="username">用户名:</label><input type="test" name="username" value="" id="username"><br/>
<label for="password">密码:</label><input type="password" name="password" value="" id="password"><br/>
<button>提交</button>
</form>
</body>
</html>
如上所示,主要看如下代码:
$sql="SELECT * FROM sql_test WHERE username='".$_GET["username"]."' AND password='".$_GET["password"]."'";
echo $sql."<br/>"; //拼接的sql语句
//执行sql语句
$result = mysqli_query($con,$sql); // 语句执行结果
$rowcount=mysqli_fetch_row($result);
if($rowcount!=0){ //只判断语句是否执行成功
echo "OK";
}else{
echo "ERROR";
}
如上代码的意思是,只要sql语句执行正确,就可以进行登录,
$sql="SELECT * FROM sql_test WHERE username='".$_GET["username"]."' AND password='".$_GET["password"]."'";对于这条语句,如果.$_GET[“password”]=1‘ or ‘1’='1,那么有or使语句一点执行成功
2. 测试过程
- 输入单引号,双引号,看password的左右是什么符号,好进行闭合处理,其中单引号报错,说明password的左右是单引号,单引号不能包裹单引号
- 进行闭合
1’ or ‘a’='a,sql语句变为
$sql="SELECT * FROM sql_test WHERE username='".$_GET["username"]."' AND password='1' or 'a'='a',一定执行正确,登录后台获取flag
