[强网杯 2019]随便注

很感谢可以在BUU平台上复现这道题,感谢赵师傅!这篇wp借鉴了大佬的,为了自己日后学习需要就写了,大佬的博客

首先要知道堆叠注入的原理:

在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。

题目:
[强网杯 2019]随便注_第1张图片
输入1’发现不回显,然后1’ #显示正常,应该是存在sql注入了
[强网杯 2019]随便注_第2张图片
试一下1’ or 1=1 #,可以看到返回了数据
[强网杯 2019]随便注_第3张图片
接下来,order by
[强网杯 2019]随便注_第4张图片
可以看到order by 2正常回显了,但是order by 3就有错了,只有2个字段,这时候用union select联合查询。
[强网杯 2019]随便注_第5张图片
返回一个正则过滤规则,可以看到几乎所有常用的字段都被过滤了,这时候想到堆叠注入,试一下,
[强网杯 2019]随便注_第6张图片
可以看到成功了,存在堆叠注入,这时候直接show tables来试试,看看能不能查询出表。
[强网杯 2019]随便注_第7张图片
可以看到有两张表,下面分别来看下两张表有什么字段,

0’; show columns from words ;#
[强网杯 2019]随便注_第8张图片
0’; show columns from 1919810931114514;#(注意对以数字为表名的表进行操作时,需要加上`符号)
[强网杯 2019]随便注_第9张图片
可以看到1919810931114514中有我们想要的flag字段,因为这里有两张表,回显内容肯定是从words这张表回显的,那怎么样才能让它回显flag所在的表呢?
从上面的查询结果来看,words有两列,id和data,而1919810931114514只有flag一个字段。虽然有强大的正则过滤,但没有过滤alert和rename关键字。
下面是从大佬那里学到的骚姿势

  1. 将words表改名为word1或者其他名字
  2. 将1919810931114514表改为words表
  3. 在新的words表里插入一列id
  4. 将flag列改名为data

构造payload:
1’;rename table words to word1;rename table 1919810931114514 to words;alter table words add id int unsigned not Null auto_increment primary key; alert table words change flag data varchar(100);#
[强网杯 2019]随便注_第10张图片

你可能感兴趣的:(CTF,WP,web)