[SUCTF 2019]EasySQL

首先查看源代码， 没有什么可以利用的

 

题目提示sql注入，但是不知道过滤了什么东西，可以使用fuzz字典来跑一下，字典跑后发现有三种结果

第一种，就是没有任何回显，意思就是没有过滤该关键字

 

 第二种，就是nonono，被过滤的关键字

 

第三种，返回了数据

 

 再仔细查看一下禁用了那些函数

 

 information_schema.tables都被过滤，玩个蛇皮

报错注入，时间盲注，ascii码的函数都被过滤了，一时间不知道如何注入

然后查看了一下自己的葵花宝典

 

 发现有一个堆查询注入还没有使用，于是进行尝试

查看数据库

1;show databases;

 

 查看数据表

1;show tables;

 

于是猜测flag是在flag表中的flag字段中

1;select flag from flag;

 

发现flag被过滤了

 

 

到这一步后，完全没有思路，于是查看别人的wp

别人的wp：

这道题目需要我们去对后端语句进行猜测，有点矛盾的地方在于其描述的功能和实际的功能似乎并不相符，通过输入非零数字得到的回显1和输入其余字符得不到回显来判断出内部的查询语句可能存在有||，也就是select 输入的数据||内置的一个列名 from 表名，进一步进行猜测即为select post进去的数据||flag from Flag(含有数据的表名，通过堆叠注入可知)，需要注意的是，此时的||起到的作用是or的作用

 

解法1

输入的内容为*,1

内置的sql语句为sql="select".sql="select".post[‘query’]."||flag from Flag";

如果$post[‘query’]的数据为*,1，sql语句就变成了select *,1||flag from Flag，也就是select *,1 from Flag，也就是直接查询出了Flag表中的所有内容

 

解法2

输入的内容为1;set sql_mode=pipes_as_concat;select 1

其中set sql_mode=pipes_as_concat的作用是将||的作用由or变为拼接字符串

 

本地mysql演示

查询当前数据库的sql_mode

 

 这个sql_mode下使用||异或运算符

select 0 || flag from flag;

 

select 1 || flag from flag;

 

  当设置sql_mode为PIPES_AS_CONCAT时，将”||”视为字符串的连接操作符而非或运算符，这和Oracle数据库是一样的，也和字符串的拼接函数Concat相类似

set sql_mode=PIPES_AS_CONCAT;

 

 select @@sql_mode;

 

select 1 || flag from flag;

 

根据别人的wp知道内置的sql语句为

sql="select".sql="select".post[‘query’]."||flag from Flag";

所以直接构造payload

query=3;set sql_mode=PIPES_AS_CONCAT;select 3

 

附加几种常见的sql_mode值的介绍：

几种常见的mode介绍
ONLY_FULL_GROUP_BY：出现在select语句、HAVING条件和ORDER BY语句中的列，必须是GROUP BY的列或者依赖于GROUP BY列的函数列。

NO_AUTO_VALUE_ON_ZERO：该值影响自增长列的插入。默认设置下，插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0，而该列又是自增长的，那么这个选项就有用了。

STRICT_TRANS_TABLES：在该模式下，如果一个值不能插入到一个事务表中，则中断当前的操作，对非事务表不做限制

NO_ZERO_IN_DATE：这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式，2016-01-00是不允许的，但是0000-02-01是允许的。它实际的行为受到 strict mode是否开启的影响1。

NO_ZERO_DATE：设置该值，mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。

ERROR_FOR_DIVISION_BY_ZERO：在INSERT或UPDATE过程中，如果数据被零除，则产生错误而非警告。如果未给出该模式，那么数据被零除时MySQL返回NULL

NO_AUTO_CREATE_USER：禁止GRANT创建密码为空的用户

NO_ENGINE_SUBSTITUTION：如果需要的存储引擎被禁用或未编译，那么抛出错误。不设置此值时，用默认的存储引擎替代，并抛出一个异常

PIPES_AS_CONCAT：将”||”视为字符串的连接操作符而非或运算符，这和Oracle数据库是一样的，也和字符串的拼接函数Concat相类似

ANSI_QUOTES：启用ANSI_QUOTES后，不能用双引号来引用字符串，因为它被解释为识别符