Buuctf web [SUCTF 2019]EasySQL

又是一道考察sql注入的题

Buuctf web [SUCTF 2019]EasySQL_第1张图片

 1、起手试探

(主要看看输入什么内容有正确的回显)

1
0
1'
1' #

Buuctf web [SUCTF 2019]EasySQL_第2张图片Buuctf web [SUCTF 2019]EasySQL_第3张图片

 

Buuctf web [SUCTF 2019]EasySQL_第4张图片 Buuctf web [SUCTF 2019]EasySQL_第5张图片

Buuctf web [SUCTF 2019]EasySQL_第6张图片Buuctf web [SUCTF 2019]EasySQL_第7张图片

Buuctf web [SUCTF 2019]EasySQL_第8张图片

发现只有在输入1的情况下有正常的回显,输入0或其他字符都没有回显,所以这题就要尝试堆叠注入了。

ps:(如果想尝试其他注入方法,输入以下内容需要有回显

1'    报错
1'#    正确

2、爆库

1; show databases;

 Buuctf web [SUCTF 2019]EasySQL_第9张图片

 

 3、报表

1;show tables;

Buuctf web [SUCTF 2019]EasySQL_第10张图片

Buuctf web [SUCTF 2019]EasySQL_第11张图片

4、爆字段

1;show columns from 1;
1;show * from 1;

Buuctf web [SUCTF 2019]EasySQL_第12张图片

 Buuctf web [SUCTF 2019]EasySQL_第13张图片

 显示Nonono.,看来关键字from被ban了。

不费脑子的方法用不了了,只能猜测一下后端代码了。

先查看一下源码,看到传参类型为post,方式为query。

Buuctf web [SUCTF 2019]EasySQL_第14张图片

 根据前面的回显:输入1到9返回Array ( [0] => 1(此处的1可能代表Ture) ),输入0或字符没有回显,仅有的两种回显,可以判断出,后端应该使用的是逻辑或,即条件为真进行回显或条件不满足返回空白

逻辑或:|| 两边,一侧为1则取1,否则取0。

同时题目中还有这样的一句提示的话,需要你将flag交给它,它告诉你flag是不是真的,也就是说名后端的内容很有可能是||拼接:1、从网页获取的内容。2、真正的flag的内容。

select $post['query'] || flag

 ps:补充一堆

1、post请求的Parameter Type是可以是query,而一般情况下post请求方式的Parameter Type是 body,在一些极少情况下,post请求的参数体可能会存在body及query共存的情况。

2、所以这其实涉及到post请求的三大部分:header、body、query(简单来说:header:请求头、body:多参数请求体、query:单参数请求体)。

3、后端的接口在不注解的情况下默认是query,所以get请求用query,一般传递单个参数。而post请求多用body,一般传递多个参数。

4、params就是query参数,params的值只能是一个字符串,不能传递对象类型的参数,如果参数中涉及到了传递对象,就要选择body传参。

5、对象类型参数:顾名思义,参数类型是我们定义的类。我们知道int型参数,char型参数等,对象类型原理相同,即传入某个函数的参数是对象类型的

总的来说就是post['query']用来获取用户输入的字符串

所以我们需要将或逻辑改为与

1;set sql_mode=PIPES_AS_CONCAT;select 1
Buuctf web [SUCTF 2019]EasySQL_第15张图片

补充

其他sql_mode的参数:

 ONLY_FULL_GROUP_BY:

    对于GROUP BY聚合操作,如果在SELECT中的列,没有在GROUP BY中出现,那么这个SQL是不合法的,因为列不在GROUP BY从句中

    NO_AUTO_VALUE_ON_ZERO:

    该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户 希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。

    STRICT_TRANS_TABLES:

    在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制

    NO_ZERO_IN_DATE:

    在严格模式下,不允许日期和月份为零

    NO_ZERO_DATE:

    设置该值,mysql数据库不允许插入零日期,插入零日期会抛出错误而不是警告。

    ERROR_FOR_DIVISION_BY_ZERO:

    在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如 果未给出该模式,那么数据被零除时MySQL返回NULL

    NO_AUTO_CREATE_USER:

    禁止GRANT创建密码为空的用户

    NO_ENGINE_SUBSTITUTION:

    如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常

    PIPES_AS_CONCAT:

    将"||"视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似

    ANSI_QUOTES:

    启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符

    ORACLE的sql_mode设置等同:PIPES_AS_CONCAT, ANSI_QUOTES, IGNORE_SPACE, NO_KEY_OPTIONS, NO_TABLE_OPTIONS, NO_FIELD_OPTIONS, NO_AUTO_CREATE_USER.

写完之后上网上搜了一下,发现了另一种方法

*,1

根据大佬的判断,后端长这样

select post['query'] || flag from Flag

输入*,1就相当于构造了select *,1 || flag from Flag,这条语句执行起来相当于select *, 1 from Flag

原理:1||flag是个短路算法,直接输出1了

select *和select 所有列的意义相同,那么我们构造的select *,1 || flag from Flag ==select *,1 from Flag 

参考文章:

sql_mode参数 - 技术文章 - 云掣

BUUCTF [SUCTF 2019]EasySQL1 writeup(详细版)_buuctf easysql_今天不用学物理吧的博客-CSDN博客

你可能感兴趣的:(sql,安全)