[强网杯 2019]随便注

很感谢可以在BUU平台上复现这道题，感谢赵师傅！这篇wp借鉴了大佬的，为了自己日后学习需要就写了，大佬的博客

首先要知道堆叠注入的原理：

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

题目：

输入1’发现不回显，然后1’ #显示正常，应该是存在sql注入了

试一下1’ or 1=1 #，可以看到返回了数据

接下来，order by

可以看到order by 2正常回显了，但是order by 3就有错了，只有2个字段，这时候用union select联合查询。

返回一个正则过滤规则，可以看到几乎所有常用的字段都被过滤了，这时候想到堆叠注入，试一下，

可以看到成功了，存在堆叠注入，这时候直接show tables来试试，看看能不能查询出表。

可以看到有两张表，下面分别来看下两张表有什么字段，

0’; show columns from words ;#

0’; show columns from 1919810931114514;#（注意对以数字为表名的表进行操作时，需要加上`符号）

可以看到1919810931114514中有我们想要的flag字段，因为这里有两张表，回显内容肯定是从words这张表回显的，那怎么样才能让它回显flag所在的表呢？
从上面的查询结果来看，words有两列，id和data，而1919810931114514只有flag一个字段。虽然有强大的正则过滤，但没有过滤alert和rename关键字。
下面是从大佬那里学到的骚姿势 ：

1. 将words表改名为word1或者其他名字
2. 将1919810931114514表改为words表
3. 在新的words表里插入一列id
4. 将flag列改名为data

构造payload：
1’;rename table words to word1;rename table 1919810931114514 to words;alter table words add id int unsigned not Null auto_increment primary key; alert table words change flag data varchar(100);#