CTF网络安全大赛web题目：just_sqli

这道题目是bugku的web题目
题目的 描　　述: KosenCTF{}

原文链接： CTF网络安全大赛web题目：just_sqli - 红客网-网络安全与渗透技术

题目Web源代码：

<?php$user = NULL;
$is_admin = 0;if (isset($_GET["source"])) {highlight_file(__FILE__);exit;
}if (isset($_POST["username"]) && isset($_POST["password"])) {$username = $_POST["username"];$password = $_POST["password"];$db = new PDO("sqlite:../database.db");$db->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);try {$db->exec("CREATE TABLE IF NOT EXISTS users (username TEXT UNIQUE, password TEXT, is_admin BOOL);");$q = "username, is_admin FROM users WHERE username = '$username' AND password = '$password'";if (preg_match("/SELECT/i", $q)) {throw new Exception("only select is a forbidden word");}$rows = $db->query("SELECT " . $q, PDO::FETCH_ASSOC);foreach ($rows as $row) {$user = $row["username"];$is_admin = $row["is_admin"];}}catch (Exception $e) {exit("EXCEPTION!");}}?><!DOCTYPE html>
<html>
<head><meta charset="UTF-8"><title>Just SQLi</title>
</head>
<body><h1>Just SQLi</h1>    <div><a href="?source=1">view source</a><?php if ($user) { ?><div>Nice Login <?= $user ?></div><?php if ($is_admin) { ?><div>And Nice to Get the Admin Permission!</div><div> <?= include("../flag.php"); ?></div><?php } ?><?php } ?><form action="" method="POST"><div>username: <input type="text" name="username" required></div><div>password: <input type="text" name="password" required></div><div><input type="submit" value="Login"></div></form></body>
</html>

从给定的PHP代码中，有几个关键的安全问题可以被利用来进行SQL注入。但首先，需要注意的是代码中尝试使用preg_match来防止"SELECT"关键词的使用，然而这种尝试是无效的，因为它并没有在构造完整的SQL查询时应用此检查。

下面是一个可能的SQL注入攻击步骤，来绕过身份验证并获取管理员权限：

 原文链接： CTF网络安全大赛web题目：just_sqli - 红客网-网络安全与渗透技术

1. 用户名注入：由于用户名和密码直接插入到SQL查询中，我们可以尝试在用户名字段中注入SQL代码。但是，由于preg_match检查，我们不能直接包含"SELECT"。但我们可以尝试其他方法，如注释掉原查询的剩余部分。
2. 构造注入语句：在用户名字段中，我们可以尝试使用SQL注释（-- 在SQLite中是有效的）来截断原始查询的其余部分，并附加我们自己的查询条件。由于代码尝试直接构造一个片段并添加到SELECT查询中，我们可以利用这一点。
3. 绕过preg_match：由于preg_match只检查$q变量（这只是一个片段，不是完整的SQL查询），我们可以构造一个不包含"SELECT"的片段，但在实际执行时，它将成为完整的SELECT查询的一部分。

下面是一个可能的注入攻击示例（请注意，这只是一个示例，实际情况可能有所不同）：

在用户名字段中输入：

' OR '1'='1' --

在密码字段中输入任意值（例如"password123"）。

提交表单后，生成的SQL查询将是：

SELECT username, is_admin FROM users WHERE username = '' OR '1'='1' --' AND password = 'password123'

由于--是SQL注释，所以查询的剩余部分（包括密码验证部分）将被忽略。这样，查询将返回表中的所有用户，无论他们的密码是什么。

然而，为了获取管理员权限，我们可能还需要进一步利用其他漏洞或尝试其他注入方法，因为此查询仅返回用户名和is_admin字段，而不直接修改它们。

但请注意，这种攻击是违法的，并且只应在法律允许和道德接受的环境（如安全培训或测试环境）中进行。在实际环境中尝试此类攻击可能导致法律责任和其他后果。

 原文链接： CTF网络安全大赛web题目：just_sqli - 红客网-网络安全与渗透技术

我们开始对这个题目进行sql注入吧
一开始我们先盲注，构造查询语句

admin'or 1=1 -- 

发现行不通
接着我们开始联合查询

admin'union select 1,2#

发现还是不行
看了下代码， preg_match("/SELECT/i", $q这个对select进行了处理。
接着我们开始下一个方法就是用values进行替换select就行了

admin'union values('password',1) -- 

也是成功拿到答案

红客网（blog.hongkewang.cn）

 原文链接：

CTF网络安全大赛web题目：just_sqli - 红客网-网络安全与渗透技术