BUUCTF-[SUCTF 2019]EasySQL 1

好吧这题是我不配 看了网上大佬的WP

payload1:*,1  大佬的解法,好像直接将源码猜出来了 select $_GET['query'] || flag from flag
payload2:select 1;set sql_mode=pipes_as_concat;select 1||flag from Flag
payload3:1;set sql_mode=PIPES_AS_CONCAT;select 1

之前没有接触过这类题目,涉及到堆叠注入和sql_mode规则的设置

补充知识

sql_mode:是一组mysql支持的基本语法及校验规则
PIPES_AS_CONCAT:将“||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
当 sql_mode 设置了  PIPES_AS_CONCAT 时,|| 就是字符串连接符,相当于CONCAT() 函数
当 sql_mode 没有设置  PIPES_AS_CONCAT 时 (默认没有设置),|| 就是逻辑或,相当于OR函数  
解释一下payload2
select 1查询,将sql_mode规则设置成 PIPES_AS_CONCAT,||符号就是将select 1和select flag from Flag的结果拼接起来
payload1: *,1

字符串或前面的数字结果为1则返回1,为0则返回0,效果跟直接*一样,本题相当于直接查找flag
关于MYSQL的sql_mode解析与设置

ONLY_ FULL_ GROUP_B:如果在SELECT中的列,没有在GROUP BY中出现,那么将 认为这个SQL是不合法的,因为列不在GROUP BY从句中,因为这个设置的存在,我们对于group by的用法只能是类似于select * from users group by id ;并且只能展示group by的字段,要是带有其他字段便会报错。
对这种状态进行修改:

set sql_mode=(select replace  (@@sql_mode,'ONLY_FULL_GROUP_BY','')); 可以使用该语句来将空格替换掉only_full_group_by

STRICTTRANSTABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做任何限制。

NOZERODATE:在严格模式,不要将 '0000-00-00'做为合法日期。你仍然可以用IGNORE选项插入零日期。在非严格模式,可以接受该日期,但会生成警告。

ERRORFORDIVISIONBYZERO:在严格模式,在INSERT或UPDATE过程中,如果被零除(或MOD(X,0)),则产生错误(否则为警告)。如果未给出该模式,被零除时MySQL返回NULL。如果用到INSERT IGNORE或UPDATE IGNORE中,MySQL生成被零除警告,但操作结果为NULL。

NOAUTOCREATE_USER:防止GRANT自动创建新用户,除非还指定了密码。

ANSIQUOTES:启用ANSIQUOTES后,不能用双引号来引用字符串,因为它被解释为识别符。

PIPESASCONCAT:将"||"视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样是,也和字符串的拼接函数Concat想类似。

参考文章:https://www.cnblogs.com/ophxc/p/12879732.html#

https://www.cnblogs.com/chrysanthemum/p/11729891.html

 

posted @ 2020-12-19 16:48  !rbash  阅读(591)  评论(0编辑  收藏  举报