从匆匆的一瞥,到两小时泯灭(SQL注入)
- 惊鸿一瞥
- 用户名提示
- jsBase64.js文件
- 手搓轮子(python)
- 反复搓轮子(python-tamper)
惊鸿一瞥
昨天晚上分别开了我相识已久的女友,再度回到了单身狗身份,在这个双休的早上,电脑上看完了昨天还未看完的《银河护卫队1》,百无聊赖的打开了某一个网站,想找找是否有啥好玩的东西,这一看,2个小时就这么没了。。。
用户名提示
登录界面在账号处,如果输入系统存在的账号,则用户名会返回对应的结果,没有则不返回。抓包看一下。
输入admin,返回了admin。这里我注意到一个参数 SQL_WHERE。那这里我们大胆猜测一下,是不是有可能后面就是跟的要查询的账号名呢,只是这里做了相应处理。需要注意的是,值的最后面有两个%3D,这里懂的师傅,已经猜到是base64编码的,我当时也是这样想的,就拿去处理一下。
密文:
NGFkMzRkZWEyYjgxYzcyMWY0YTg3YTEzYzU5MzJmNTY5YzA3MWVjZDE2MGM3ZjIzZDNmYzliNDg1NTlmZGMxZg%3D%3D
第一步处理,UrlDecode解码
NGFkMzRkZWEyYjgxYzcyMWY0YTg3YTEzYzU5MzJmNTY5YzA3MWVjZDE2MGM3ZjIzZDNmYzliNDg1NTlmZGMxZg==
第二步处理,base64解码
4ad34dea2b81c721f4a87a13c5932f569c071ecd160c7f23d3fc9b48559fdc1f
这也看不出是个啥加密呀,就想着能不能去F12里找找思路。。
jsBase64.js文件
打开网站之后按了下F12,看到以下截图,当中的jsBase64.js文件让我有了极大的兴趣,因为我看到了 key 和 iv ,心里咯噔一下,这不是洞就来了嘛。少说也是个配置文件泄露嘛。
想着,既然我都知道这里是aes加密了,还暴露了key和iv,那不是马上就可以反推出刚刚的密文是什么了嘛!咱们说干就干,就将这段代码复制到了新文件中,准备传入明文admin来试试看能不能加密出刚刚的密文来。
手搓轮子(python)
突然惊醒,js我不会啊,不知道咋穿参进去,而且电脑也没有运行代码的环境,思来想去,js我不会,但是我会点python呀。
网上参考了点python的aes解密,整了一个出来。
啪的一下很快啊,当时就给了我一个结果 AND LOGID=‘admin’。好家伙,这不是连着查询语句一起写这了嘛,搞不好这里还有SQL注入呢!!
秉着严谨的态度,我再次搞了三条高级测试语句加密之后传过去,探探虚实。
1.AND LOGID=‘test’
2.AND LOGID=‘test’ AND 1=1
3.AND LOGID=‘test’ AND 1=2
1.1944b419abc5540fbed8e886ea1d68dcdda71cc9b1da8daba6096208727fa36e
2.1944b419abc5540fbed8e886ea1d68dc8c937b7e0c859960291e590322549066
3.1944b419abc5540fbed8e886ea1d68dcfdc8146dc3691809e7b75e7224b6451d
像前面一样,先 base64编码,在 UrlEncode编码。
芜湖,起飞。这里SQL注入已经妥了。但是这里我应该怎么去弄点库名来证明呢,第一个想到sqlmap,但是sqlmap的自带tamper是没有这样复杂处理的脚本,看来还是只能自己写了。
反复搓轮子(python-tamper)
先打开了一个自带的脚本(apostrophemask.py),看看人家是咋写的。
为了让数据可以直接用,这里需要将 payload 做三次处理:
AES加密——Base64编码——UrlDecode解码
哎嘿,跑出来了。武林中人讲究点到为止,关掉看鬼灭之刃去了。
