1. 从登录框到注册页:一次典型的CTF侦察之旅
这道题我印象很深,当时做的时候感觉挺有意思的。题目给的就是一个登录页面,乍一看啥也没有,就一个邮箱输入框、一个密码框,再加个登录按钮。很多新手看到这种界面可能就懵了,心想这怎么注入?直接往邮箱里塞单引号?我试了,不行,页面直接提示“邮箱@之后不能添加符号”,直接把这条路堵死了。密码框也试了,输入单引号或者or '1'='1这种经典payload,结果就是冷冰冰的“用户名或密码错误”,没有任何报错信息回显,典型的盲注环境,但连注入点在哪都还没找到。
这时候就不能硬着头皮在登录框死磕了。CTF做题,尤其是Web题,第一步往往不是直接上技术,而是信息收集。一个网站不可能只有一个登录页面,后台肯定还有其他功能文件。我的习惯是,遇到这种“死胡同”,立刻上目录扫描工具。当时我用的是dirsearch,这个工具用Python写的,速度快,字典也全。命令行很简单:python3 dirsearch.py -u http://目标网址 -e php。跑起来之后,没等多久,结果就出来了。
扫出来的文件不少,但对我们有用的主要就两个:login.php(这个我们已经看到了)和 register.php。看到register.php,眼睛就亮了。注册功能,意味着我们可以向数据库插入我们可控的数据,这往往是二次注入的温床。所谓二次注入,就是数据第一次存入数据库时是安全的,但之后从数据库里被拿出来,在另一个上下文中(比如查询、显示)使用时,却触发了SQL注入。这比直接注入更隐蔽。我马上点开这个注册页面,果然,一个标准的注册表单:邮箱、用户名、密码、确认密码。我们的战场,很可能就在这里。
2. 定位注入点与理解二次注入原理
注册了个测试账号,比如邮箱test@qq.com,用户名test_user,密码123456。注册成功后会跳转到登录页,用刚才的凭证登录进去。登录后的页面很简单,往往就一行欢迎语,比如“Hello, test_user”。问题就出在这里——这个用户名test_user是从哪来的?它肯定不是登录时传的,因为登录只用了邮箱和密码。所以,它只可能是登录成功后,后端代码用邮箱(或用户ID)去数据库里查询,把对应的用户名username字段取出来,再渲染到页面上。
我们来脑补一下后端的逻辑。注册时,代码可能是这样的:
INSERT INTO users (email, username, password) VALUES ('$email', '$username', '$password')
登录并显示欢迎信息时,代码可能是这样的:
SELECT username FROM users WHERE email = '$email'
然后把查询到的username直接塞进HTML模板里。如果我们在注册时,在username字段里埋入一个“毒药”(恶意SQL片段),比如admin' -- 。那么注册语句就变成了:
INSERT INTO users (email, username, password) VALUES ('test2@qq.com', 'admin' -- ', '123456')
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
