题目分析
输入1看看
常规试了试其他的数字发现都跟上面的一样的,试了1’ 和 1’‘都没有回显。输入 1 and 1=1等都是一样的回显,如下:
肯定是数字型注入,常规试试order by1-99试试,发现还是Nonono,那就是过滤了一些关键字符。
试试堆叠注入
试试查询表中的字段:
1;select columns from ‘Flag’;
发现还是Nonono
其他的布尔注入,时间盲注也试过也是没啥用,应该是全部都过滤掉了
方法一:非预期解
那还是先猜解一下SQL语句吧(用burp可以知道*是没有被过滤的,这里就不演示了)
因为这题是通过POST传参query,而我们不管输入什么数字都只会回显Array([0] =>1),输入字母却不会回显,但是也没有说这个字母是不是过滤的,那么query的值如果为 非数字则无法正常回显的话,那么查询语句应该如下:(也就是select 输入的数据||内置的一个列名 from 表名)
$sql="select".$_POST['query']."||flag from Flag";
(此时的 || 起到的作用是or的作用
(说实在的实在想不到这样的…看了一些其他师傅的wp是这样解释的:输入非零数字得到的回显1和输入其余字符得不到回显=>来判断出内部的查询语句可能存在有||
知道查询语句后,就好做啦
解法一:
payload:
*,1
那么sql语句就变成了:
select *,1 || flag from Flag
也就是
select *,1 from Flag
得到flag
1)为什么是 *,1呢 我的理解是,1是为了“吃掉”后面的 || 。因为我们把 || 当成是运算符 or 存在的(这里可以形象得理解为是真假命题析取),所以 *,1 || flag == *,1 (输入其他非0数字得到的也是一样的,而输入*,0 ,根据结果可以判断出flag这一列是不存在的
2)select 1 from Flag 的作用是
增加临时列,每行的列值是写在select后的数.
方法二:预期解
通过修改SQL配置将**或运算符||**设置为连接符
set sql_mode=PIPES_AS_CONCAT
payload:
1;set sql_mode=PIPES_AS_CONCAT;select 1
那么执行的SQL语句为:
select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag;
改变语义后就是将前一个字段的查询结果和后一个字段查询结果进行拼接,这样两个字段都会被查询。得到flag
参考文章:https://blog.csdn.net/mochu7777777/article/details/108937396
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
