0x00 记忆方式

case when 15 like ‘1%’ then 0 else 2*1e308 end

0x01 前言

在一次日常的web安全检测时发现的一个sql注入,刚开始是直接扔sqlmap里面的,后面发现sqlmap对于这个站是怎么样都无法正常的检测注入

如下图:

一次挖洞中失去工具的union盲注? - 图2

一次挖洞中失去工具的union盲注? - 图3

而手工检测是可以注入但是人家返回的是你输入的内容,也就是不会有数据库的数据返回
一次挖洞中失去工具的union盲注? - 图4
这就很蛋疼了,并且通过这个网站的一处输入与输出的地方,我还知道了,他会全局把
( )过滤为[ ]这就说明我们注入的时候是没有函数可以给我们使用的,也解释了为什么sqlmap会检测不出来。

如下图:
一次挖洞中失去工具的union盲注? - 图5
一次挖洞中失去工具的union盲注? - 图6

好了前言介绍完了,剩下的就是与项目无关了

最后在实战时,发现可以使用 union + case when 来进行布尔盲注获取数据,也就是通过他,我的项目成功通过了,我们在本地模拟一下,因为在发肯定会漏,而且也不好理解

0x02 演示代码

我在本地写了几行代码,模拟线上的情况。

  1. <?php
  3. $id = @$_GET['id'];
  5. $dsn = "mysql:host=127.0.0.1; port=3306; dbname=test; charset=utf8";
  6. $user = 'root';
  7. $psw ='root';
  8. $pdo = new PDO($dsn, $user, $psw);
  9. $sql = 'select * from test';
  11. if (!empty($id)) {
  12.     $id = str_replace("(", "[", $id);
  13.     $id = str_replace(")", "]", $id);
  14. } else {
  15.     exit;
  16. }
  17. $sql .= ' where ' . 'id = ' . $id;
  18. echo 'sql:' . $sql;
  19. echo '<br/>';
  20. echo '<br/>';
  21. echo '<br/>';
  22. //进行查询数据库出问题则报具体错误
  23. $query = $pdo->query($sql);
  24. $res = @$query->fetch();
  25. if ($res) {
  26.     // 这里写访问记录+1 但是我不想写,所以就直接把那个+1的流程去掉了
  27.     echo 'studio_one_hour_pageview_' . $id . '_53aa9d8bcf7749bdb0bbajksbdjkasbd';
  28. }

0x03 测试

一次挖洞中失去工具的union盲注? - 图7
一次挖洞中失去工具的union盲注? - 图8
一次挖洞中失去工具的union盲注? - 图9
一次挖洞中失去工具的union盲注? - 图10
一次挖洞中失去工具的union盲注? - 图11
一次挖洞中失去工具的union盲注? - 图12
一次挖洞中失去工具的union盲注? - 图13
好了其实前面都是在凑字数的 : )

后面发现我们可以使用这种方法来进行注入
一次挖洞中失去工具的union盲注? - 图14
一次挖洞中失去工具的union盲注? - 图15
例如查库名:
一次挖洞中失去工具的union盲注? - 图16

一次挖洞中失去工具的union盲注? - 图17
一次挖洞中失去工具的union盲注? - 图18