[SUCTF 2019]EasySQL 1(SQL堆叠注入+select 1 from的用法+sql_mode=PIPES_AS_CONCAT)

最新推荐文章于 2024-05-04 19:57:42 发布
最新推荐文章于 2024-05-04 19:57:42 发布
阅读量5.8k 收藏 32
点赞数 12
分类专栏: Black_Hat_Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43678005/article/details/108101904
版权

(本文为个人刷题记录,不记录完整解题步骤,而是写一下自己的感悟点)
为了准备20/8/20号信安大赛,临阵磨枪刷一下题

SQL堆叠注入

  这个就不再写原理了,之前也遇到很多了,就是一个sql语句";"后面可以继续执行sql查询语句。

试一下堆叠注入查询数据库

1;show databases;

查询表名

1;show tables;

在这里插入图片描述这里直接用下面查询FLag表是不行的

1;show columns from Flag;#

接下来就是最迷的步骤,大佬居然可以从报错中猜出查询语句是:

select $_GET['query'] || flag from flag

这里的"||"是啥意思,查了一下mysql中表示或,如果前一个操作数为真,则不看后面的语句

然后构造payload

*,1

这啥意思,我来解释一下

sql=select.post['query']."||flag from Flag";
如果$post['query']的数据为*,1sql语句就变成了select *,1||flag from Flag,
就是select *,1 from Flag,这样就直接查询出了Flag表中的所有内容。

select 1 from 是啥意思吖?

不懂就查,看了一堆(看这里还有这里),这里总结一下我的理解
这里会增加一个临时列,它的列名是1,然后那一列的值都为1
看大佬做的验证:

在这里插入图片描述
还有这些:

在这里插入图片描述在这里插入图片描述

所以整个payload语句的意思就是查询所有数据,然后增加了一个临时列,看结果:

在这里插入图片描述第一列是本来数据库的,后面是新增的临时列

另外一种解法

思想是把"||"变成字符串连接符,而不是或
涉及到mysql中sql_mode参数设置,设置 sql_mode=pipes_as_concat字符就可以设置。(sql_mode设置

在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。
但在mysql 缺省不支持。需要调整mysql 的sql_mode
模式:pipes_as_concat 来实现oracle 的一些功能。

payload:

1;set sql_mode=PIPES_AS_CONCAT;select 1

在这里插入图片描述(看红线,临时列)

感受

本来觉得难上天,最后发现多看几个网页,只到自己搞懂了,问题还是能解决的(除了这题猜测查询语句的本事,这个我不说了),谢谢网上的记录文档,让我可以学习
参考:
别人的WP

Alex Ruan
关注
  • 12
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
关于MySQLsql_mode合理设置详解
09-09
8. `PIPES_AS_CONCAT`:将“||”视为字符串连接操作符。 9. `ANSI_QUOTES`:启用后,双引号将被视为标识符的引用,而非字符串。 在Oracle用户迁移到MySQL时,可以设置`sql_mode`以适应Oracle习惯,如: ``` sql_...
MySQL关于sql_mode解析与设置讲解
09-09
8. `PIPES_AS_CONCAT`: 使"||"作为字符串连接操作符,而不是逻辑运算符,与Oracle数据库的行为一致。 9. `ANSI_QUOTES`: 开启后,双引号被视为标识符的引用,而不是字符串。这意味着你不能再用双引号来包围字符...
BUUCTF-[SUCTF 2019]EasySQL1
Monica的博客
09-09 2711
题目: 分析: 先尝试输入。 输入非0数字的时候会有一个回显 输入大小写字母的时候没有回显 判断是什么闭合:输入1#能输出,而输入 1' 和1'#没有输出,"被过滤掉,大致上可以按照数字型进行猜测。 输入特殊字符也没有报错回显,所以报错注入基本上没戏了 输入很多关于sql语句的东西(and,or,union,if,order from )都会显示Nonono,所以联合查询也没戏 再尝试时间盲注 ,sleep也被ban了,时间盲注也不行 再尝...
[SUCTF 2019]EasySQL1 题目分析与详解
2302_79800344的博客
02-24 2214
EasySQL
[SUCTF 2019]EasySQL 1
最新发布
weixin_63139305的博客
05-04 204
返回的数组,再加上给的语句Give me your flag, I will tell you if the flag is right.,推出有flag from flag,因为需要验证flag是否正确,可以猜测出sql语句可能是。根据题目的提示这是一个sql注入的题目所以我们就尝试sql注入。两个有一假,则全为假,只有全真为真。但是from被过滤了,所以戛然而止。补充 || = or的相关知识,使用短路语法就可以读出flag。解释一下这句sql语句。先输入1,发现有回显。还有一种就是堆注入
[SUCTF 2019]EasySQL1
whale_waves的博客
10-11 232
先用bp抓包fuzz一下看拉黑了哪些东西ctrl+i把他放到intruder中添加要注入的位置设置payload加载payload文件这是我自用的,可能有什么不足(需要可以自取)unionselectasciisubstrfromorand1=1and 1=1updatexmlhandlersleeplength()--%23table_namewheredatabase()
mysql sql_mode= 的作用说明
12-15
MySQL 5的默认SQL模式包括`REAL_AS_FLOAT`、`PIPES_AS_CONCAT`、`ANSI_QUOTES`、`IGNORE_SPACE`和`ANSI`。这些模式分别表示: 1. `REAL_AS_FLOAT`:浮点数除法结果以浮点数表示。 2. `PIPES_AS_CONCAT`:将两个竖线...
win7下SQLServer_2008_R2安装详细图文教程.zip_sql_sqlserver 2008
09-23
在本文中,我们将深入探讨如何在Windows 7操作系统下安装SQL Server 2008 R2,这是一个重要的数据库管理系统,广泛应用于数据存储、查询和分析。SQL Server 2008 R2是Microsoft SQL Server系列的一个重要版本,提供...
ipc.rar_ ipc_IPC_linux ipc_pipes_进程间通信ipc
09-23
压缩包"ipc.rar"中可能包含上述各种IPC机制的示例代码,你可以通过阅读和运行这些代码来更直观地了解它们的工作原理和使用方法。学习和掌握这些通信机制对于Linux系统编程和多进程协作至关重要,它们是构建复杂、...
sql注入注入
ShenZ的博客
08-08 598
注入 使用multi_query()执行一条或多条sql语句,然后将结果全部输出,就会有这种漏洞 一次性执行多条查询语句 总之前面闭合,后面注释掉 xxx' ;show databases;--+ show tables ';show columns from `表名`; --+ 绕过方法 连接 [SUCTF 2019]EasySQL set sql_mode=pipes_as_concat; 依旧是要一起用的 pipes_as_concat:将导致 “||” 字符串被视为一个标准的 SQL
BUUCTF - [SUCTF 2019]EasySQL1
白帽子续命指南
04-26 7199
猜测后端执行语句 测试环境:BUUCTF - [SUCTF 2019]EasySQL1 通过测试发现,输入数字的时候,页面回显 输入字母页面就没有回显 而尝试执行注入语句的时候,会显示一个nonono 也就是说,没有回显,联合查询基本没戏。 好在页面会进行相应的变化,证明注入漏洞肯定是有的。而且注入点就是这个POST参数框框,就是那个inject参数。 至少我们可以把精力全部放在这个参数上。...
buuctf-[SUCTF 2019]EasySQL 1(小宇特详解)
小宇的web博客
01-15 5373
buuctf-[SUCTF 2019]EasySQL 1(小宇特详解) 解法1 这里先用的是万能密码,发现不能使用,然后使用堆注入发现能够进行 堆注入查询数据库 1; show databases; 查询表名 1; show tables; 这里尝试直接访问Flag 1;show columns from Flag;# 发现不行 这里是最迷的一个地方,这里大佬能够猜出查询语句 select $_GET['query'] || flag from flag 这里的||在mysql中表示或,如果
SQL注入——堆注入
nobugnomoney的博客
05-19 3180
一、堆注入的原理 1、介绍 在 SQL 中,分号(;)是用来表示一条 sql 语句的结束。试想一下我们在 ; 结束一个 sql 语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆注入。而 union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆注入可以执行的是 任意的语句。 例如下面这个例子: 用户输入: 1; DELETE FROM products
[SUCTF 2019]EasySQL
Yb_140的博客
09-01 99
我们可以从结果中看到,修改之后这个 || 相当于是将select 1 和 select flag from Flag 的结果拼接在一起。解法一的语句就是: select *,1||flag from Flag,也就是select *,1 from Flag。其中set sql_mode=PIPES_AS_CONCAT;的作用是将 || 的功能从或运算改为字符出拼接。因为输入1有回显,而输入其他0没有回显,猜测内置的查询语句有||,.........
【BUUCTF】Web题解
xuanyulevel6的博客
08-08 5165
【BUUCTF】Web题解
1;set sql_mode=PIPES_AS_CONCAT;select 1
07-16
执行 `1;set sql_mode=PIPES_AS_CONCAT;select 1;` 这条语句会产生两个结果: 1. 首先,执行 `1` 这个语句并不会有实际的含义,因此不会产生任何输出。 2. 接下来,执行 `set sql_mode=PIPES_AS_CONCAT;` 这个语句会将 SQL 模式设置为 PIPES_AS_CONCAT。这会改变管道符号(||)的含义,使其成为字符串的连接运算符。 3. 最后,执行 `select 1;` 这个语句会返回一个结果集,其中只包含一个值为 1 的列。 需要注意的是,在一次查询中执行多个语句时,每个语句必须使用分号(;)进行分隔。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值