zoukankan      html  css  js  c++  java
  • [SUCTF 2019]EasySQL

    首先查看源代码, 没有什么可以利用的

     

    题目提示sql注入,但是不知道过滤了什么东西,可以使用fuzz字典来跑一下,字典跑后发现有三种结果

    第一种,就是没有任何回显,意思就是没有过滤该关键字

     

     第二种,就是nonono,被过滤的关键字

     

    第三种,返回了数据

     

     再仔细查看一下禁用了那些函数

     

     information_schema.tables都被过滤,玩个蛇皮

    报错注入,时间盲注,ascii码的函数都被过滤了,一时间不知道如何注入

    然后查看了一下自己的葵花宝典

     

     发现有一个堆查询注入还没有使用,于是进行尝试

    查看数据库

    1;show databases;

     

     查看数据表

    1;show tables;

     

    于是猜测flag是在flag表中的flag字段中

    1;select flag from flag;

     

    发现flag被过滤了

    到这一步后,完全没有思路,于是查看别人的wp

    别人的wp:

    这道题目需要我们去对后端语句进行猜测,有点矛盾的地方在于其描述的功能和实际的功能似乎并不相符,通过输入非零数字得到的回显1和输入其余字符得不到回显来判断出内部的查询语句可能存在有||,也就是select 输入的数据||内置的一个列名 from 表名,进一步进行猜测即为select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知),需要注意的是,此时的||起到的作用是or的作用

    解法1

    输入的内容为*,1

    内置的sql语句为sql="select".sql="select".post[‘query’]."||flag from Flag";

    如果$post[‘query’]的数据为*,1,sql语句就变成了select *,1||flag from Flag,也就是select *,1 from Flag,也就是直接查询出了Flag表中的所有内容

    解法2

    输入的内容为1;set sql_mode=pipes_as_concat;select 1

    其中set sql_mode=pipes_as_concat的作用是将||的作用由or变为拼接字符串

    本地mysql演示

    查询当前数据库的sql_mode

     

     这个sql_mode下使用||异或运算符

    select 0 || flag from flag;

     

    select 1 || flag from flag;

     

      当设置sql_mode为PIPES_AS_CONCAT时,将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似

    set sql_mode=PIPES_AS_CONCAT;

     

     select @@sql_mode;

     

    select 1 || flag from flag;

     

    根据别人的wp知道内置的sql语句为

    sql="select".sql="select".post[‘query’]."||flag from Flag";

    所以直接构造payload

    query=3;set sql_mode=PIPES_AS_CONCAT;select 3

     

    附加几种常见的sql_mode值的介绍:
    
    几种常见的mode介绍
    ONLY_FULL_GROUP_BY:出现在select语句、HAVING条件和ORDER BY语句中的列,必须是GROUP BY的列或者依赖于GROUP BY列的函数列。
    
    NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。
    
    STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制
    
    NO_ZERO_IN_DATE:这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式,2016-01-00是不允许的,但是0000-02-01是允许的。它实际的行为受到 strict mode是否开启的影响1。
    
    NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。
    
    ERROR_FOR_DIVISION_BY_ZERO:在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL
    
    NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户
    
    NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常
    
    PIPES_AS_CONCAT:将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
    
    ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符

  • 相关阅读:
    左萧龙(LZ)个人博客
    不同样式的计数
    CSS径向渐变radial-gradient
    优秀的Android资源
    读取csv格式的数据
    php 获取URL 各部分参数
    phpstorm查找替换文件中的变量
    PhpStorm 快捷键大全 PhpStorm 常用快捷键和配置
    phpstorm 代码注释后,撤销某段代码的注释的,快捷键是什么?
    关于thinkphp5手动抛出Http异常时自定义404页面报错的问题
  • 原文地址:https://www.cnblogs.com/gtx690/p/13176458.html
Copyright © 2011-2022 走看看