[SUCTF 2019]EasySQL

首先查看源代码, 没有什么可以利用的

 

题目提示sql注入,但是不知道过滤了什么东西,可以使用fuzz字典来跑一下,字典跑后发现有三种结果

第一种,就是没有任何回显,意思就是没有过滤该关键字

 

 第二种,就是nonono,被过滤的关键字

 

第三种,返回了数据

 

 再仔细查看一下禁用了那些函数

 

 information_schema.tables都被过滤,玩个蛇皮

报错注入,时间盲注,ascii码的函数都被过滤了,一时间不知道如何注入

然后查看了一下自己的葵花宝典

 

 发现有一个堆查询注入还没有使用,于是进行尝试

查看数据库

1;show databases;

 

 查看数据表

1;show tables;

 

于是猜测flag是在flag表中的flag字段中

1;select flag from flag;

 

发现flag被过滤了

 

 

到这一步后,完全没有思路,于是查看别人的wp

别人的wp:

这道题目需要我们去对后端语句进行猜测,有点矛盾的地方在于其描述的功能和实际的功能似乎并不相符,通过输入非零数字得到的回显1和输入其余字符得不到回显来判断出内部的查询语句可能存在有||,也就是select 输入的数据||内置的一个列名 from 表名,进一步进行猜测即为select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知),需要注意的是,此时的||起到的作用是or的作用

 

解法1

输入的内容为*,1

内置的sql语句为sql="select".sql="select".post[‘query’]."||flag from Flag";

如果$post[‘query’]的数据为*,1,sql语句就变成了select *,1||flag from Flag,也就是select *,1 from Flag,也就是直接查询出了Flag表中的所有内容

 

解法2

输入的内容为1;set sql_mode=pipes_as_concat;select 1

其中set sql_mode=pipes_as_concat的作用是将||的作用由or变为拼接字符串

 

本地mysql演示

查询当前数据库的sql_mode

 

 这个sql_mode下使用||异或运算符

select 0 || flag from flag;

 

select 1 || flag from flag;

 

  当设置sql_mode为PIPES_AS_CONCAT时,将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似

set sql_mode=PIPES_AS_CONCAT;

 

 select @@sql_mode;

 

select 1 || flag from flag;

 

根据别人的wp知道内置的sql语句为

sql="select".sql="select".post[‘query’]."||flag from Flag";

所以直接构造payload

query=3;set sql_mode=PIPES_AS_CONCAT;select 3

 

附加几种常见的sql_mode值的介绍:

几种常见的mode介绍
ONLY_FULL_GROUP_BY:出现在select语句、HAVING条件和ORDER BY语句中的列,必须是GROUP BY的列或者依赖于GROUP BY列的函数列。

NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。

STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制

NO_ZERO_IN_DATE:这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式,2016-01-00是不允许的,但是0000-02-01是允许的。它实际的行为受到 strict mode是否开启的影响1。

NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。

ERROR_FOR_DIVISION_BY_ZERO:在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL

NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户

NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常

PIPES_AS_CONCAT:将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似

ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符

posted @ 2020-06-22 13:54  GTX690M  阅读(5816)  评论(0编辑  收藏  举报