BUUCTF__[极客大挑战 2019]EasySQL_题解

一、前言

• 这几天一直在研究搭建CTFd，最终还是没成功（成功了一次汉化失败），各种报错，真的崩溃了，时间也不算浪费了吧，也学到了一点东西。
• 因为对 Linux 操作系统不是很熟悉，特别是都是命令行。
• 再研究研究下次继续。

二、看题

• 很明显的sql注入题了，习惯F12也没发现什么问题。
  
• 还是先尝试闭合方式， 输入1、1’、1" 判断，当输入 1’ 报错，结果语句应该为单引号闭合。
  
• 都报错了，尝试注入 ，然后，了解一下万能用户名 / 密码。

三、研究

• select * from table_name where username='xxxx' and password='xxxxxx' ;

• 一般，验证登录注册查询数据库可能会用以上句型。如果用户密码匹配正确则返回真值，通过验证成功登录。

• 如果让它不匹配数据库也能返回真值那么就能绕过验证登录。

• 那么就是下面的万能用户名 。

• 如果我们传入的 username 为 1’ or 1=1 #，随意输入 password，那么传入后端验证时，sql语句就是

      select * from table_name where username='1' or 1=1 # ' and password='xxxxxx' ;
  

• 因为sql语句中 # 为注释符，也就是

      select * from table_name where username='1' or 1=1 
  

• 那么因为 1=1 恒为真，所以sql语句返回真值，成功实现绕过验证,得到flag。

• 万能密码同理。
• 但这里因为什么过滤都没有，所以可能有很多种玩法。
• 比如说做题时没想到直接 1' union select 1,2,database()# 就得到了 flag。
  
• 至于为什么知道是三列，因为它报错提示了。
  
• 而且发现了一个很有意思的地方。
• 当用 1' union select * from table_name #
• 报错有点不一样。传入的表名，被拼接在geek. 后面，如 geek.abc 、geek.qwe 。
  

四、最后

• 的确是很简单的一道sql注入题，什么过滤都没有。这才是真 EasySQL。
• 附上原题链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]EasySQL
• 持续更新BUUCTF题解，写的不是很好，欢迎指正。
• 最后欢迎来访个人博客 http://ctf-web.zm996.cloud/