[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)

(本文为个人刷题记录,不记录完整解题步骤,而是写一下自己的感悟点)
为了准备20/8/20号信安大赛,临阵磨枪刷一下题

SQL堆叠注入

  这个就不再写原理了,之前也遇到很多了,就是一个sql语句";"后面可以继续执行sql查询语句。

试一下堆叠注入查询数据库

1;show databases;

查询表名

1;show tables;

[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)_第1张图片这里直接用下面查询FLag表是不行的

1;show columns from Flag;#

接下来就是最迷的步骤,大佬居然可以从报错中猜出查询语句是:

select $_GET['query'] || flag from flag

这里的"||"是啥意思,查了一下mysql中表示或,如果前一个操作数为真,则不看后面的语句

然后构造payload

*,1

这啥意思,我来解释一下

sql=select.post['query']."||flag from Flag";
如果$post['query']的数据为*,1sql语句就变成了select *,1||flag from Flag,
就是select *,1 from Flag,这样就直接查询出了Flag表中的所有内容。

select 1 from 是啥意思吖?

不懂就查,看了一堆(看这里,还有这里),这里总结一下我的理解
这里会增加一个临时列,它的列名是1,然后那一列的值都为1
看大佬做的验证:

[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)_第2张图片
还有这些:

[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)_第3张图片[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)_第4张图片

所以整个payload语句的意思就是查询所有数据,然后增加了一个临时列,看结果:

[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)_第5张图片第一列是本来数据库的,后面是新增的临时列

另外一种解法

思想是把"||"变成字符串连接符,而不是或
涉及到mysql中sql_mode参数设置,设置 sql_mode=pipes_as_concat字符就可以设置。(sql_mode设置)

在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。
但在mysql 缺省不支持。需要调整mysql 的sql_mode
模式:pipes_as_concat 来实现oracle 的一些功能。

payload:

1;set sql_mode=PIPES_AS_CONCAT;select 1

[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)_第6张图片(看红线,临时列)

感受

本来觉得难上天,最后发现多看几个网页,只到自己搞懂了,问题还是能解决的(除了这题猜测查询语句的本事,这个我不说了),谢谢网上的记录文档,让我可以学习
参考:
别人的WP

你可能感兴趣的:(SQL注入)