[SUCTF 2019]EasySQL

0x00

打开网页如下

进行测试,发现有三种返回结果分别为:

  • Nonono.
  • 返回数组结果

经过测试,还发现大多数的数组可以返回结果,字母返回为空,带有数据库查询关键字的返回 Nonono.
据我猜测,返回为空的应该是sql语句没有查询到结果
返回为 Nonono.的应该是存在过滤条件
还发现存在堆叠注入,通过如下payload查询到了表

1;show tables;#


flag就存在Flag表中,再用如下payload进行查询:

1;show columns from `Flag`;#

结果发现里面存在被过滤的关键字,然后我就不知道该怎么弄了,只好查询WP
结果发现这道题也太坑了,不看WP完全想不到的方向。。。

0x01

看完源码,知道了后台的sql语句如下:

select ?||flag from Flag
## ?为输入的关键字

这需要知道一些数据库中的一些知识:
在oracle中 || 默认为连接符,在MySQL中默认为逻辑或,如果想变成连接符需要sql语句设置(set sql_mode=PIPES_AS_CONCAT)
连接符指的是查询结果进行连接
所以这道题会有两种解:
官方解:

1;set sql_mode=PIPES_AS_CONCAT;select 1

其他解:

*,1
## select *,1||flag from Flag
## 逻辑运算后变成了 
## select *,1 from Flag
posted @ 2020-08-09 07:50  she11s  阅读(173)  评论(0编辑  收藏  举报