首先查看源代码, 没有什么可以利用的
题目提示sql注入,但是不知道过滤了什么东西,可以使用fuzz字典来跑一下,字典跑后发现有三种结果
第一种,就是没有任何回显,意思就是没有过滤该关键字
第二种,就是nonono,被过滤的关键字
第三种,返回了数据
再仔细查看一下禁用了那些函数
information_schema.tables都被过滤,玩个蛇皮
报错注入,时间盲注,ascii码的函数都被过滤了,一时间不知道如何注入
然后查看了一下自己的葵花宝典
发现有一个堆查询注入还没有使用,于是进行尝试
查看数据库
1;show databases;
查看数据表
1;show tables;
于是猜测flag是在flag表中的flag字段中
1;select flag from flag;
发现flag被过滤了
到这一步后,完全没有思路,于是查看别人的wp
别人的wp:
这道题目需要我们去对后端语句进行猜测,有点矛盾的地方在于其描述的功能和实际的功能似乎并不相符,通过输入非零数字得到的回显1和输入其余字符得不到回显来判断出内部的查询语句可能存在有||,也就是select 输入的数据||内置的一个列名 from 表名,进一步进行猜测即为select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知),需要注意的是,此时的||起到的作用是or的作用
解法1
输入的内容为*,1
内置的sql语句为sql="select".sql="select".post[‘query’]."||flag from Flag";
如果$post[‘query’]的数据为*,1,sql语句就变成了select *,1||flag from Flag,也就是select *,1 from Flag,也就是直接查询出了Flag表中的所有内容
解法2
输入的内容为1;set sql_mode=pipes_as_concat;select 1
其中set sql_mode=pipes_as_concat的作用是将||的作用由or变为拼接字符串
本地mysql演示
查询当前数据库的sql_mode
这个sql_mode下使用||异或运算符
select 0 || flag from flag;
select 1 || flag from flag;
当设置sql_mode为PIPES_AS_CONCAT时,将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
set sql_mode=PIPES_AS_CONCAT;
select @@sql_mode;
select 1 || flag from flag;
根据别人的wp知道内置的sql语句为
sql="select".sql="select".post[‘query’]."||flag from Flag";
所以直接构造payload
query=3;set sql_mode=PIPES_AS_CONCAT;select 3
附加几种常见的sql_mode值的介绍: 几种常见的mode介绍 ONLY_FULL_GROUP_BY:出现在select语句、HAVING条件和ORDER BY语句中的列,必须是GROUP BY的列或者依赖于GROUP BY列的函数列。 NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。 STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制 NO_ZERO_IN_DATE:这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式,2016-01-00是不允许的,但是0000-02-01是允许的。它实际的行为受到 strict mode是否开启的影响1。 NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。 ERROR_FOR_DIVISION_BY_ZERO:在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户 NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常 PIPES_AS_CONCAT:将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似 ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符