(本文为个人刷题记录,不记录完整解题步骤,而是写一下自己的感悟点)
为了准备20/8/20号信安大赛,临阵磨枪刷一下题
SQL堆叠注入
这个就不再写原理了,之前也遇到很多了,就是一个sql语句";"后面可以继续执行sql查询语句。
试一下堆叠注入查询数据库
1;show databases;
查询表名
1;show tables;
这里直接用下面查询FLag表是不行的
1;show columns from Flag;#
接下来就是最迷的步骤,大佬居然可以从报错中猜出查询语句是:
select $_GET['query'] || flag from flag
这里的"||"是啥意思,查了一下mysql中表示或,如果前一个操作数为真,则不看后面的语句
然后构造payload
*,1
这啥意思,我来解释一下
sql=select.post['query']."||flag from Flag";
如果$post['query']的数据为*,1,sql语句就变成了select *,1||flag from Flag,
就是select *,1 from Flag,这样就直接查询出了Flag表中的所有内容。
那select 1 from
是啥意思吖?
不懂就查,看了一堆(看这里,还有这里),这里总结一下我的理解
这里会增加一个临时列,它的列名是1,然后那一列的值都为1
看大佬做的验证:
还有这些:
所以整个payload语句的意思就是查询所有数据,然后增加了一个临时列,看结果:
第一列是本来数据库的,后面是新增的临时列
另外一种解法
思想是把"||"变成字符串连接符,而不是或
涉及到mysql中sql_mode参数设置,设置 sql_mode=pipes_as_concat
字符就可以设置。(sql_mode设置)
在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。
但在mysql 缺省不支持。需要调整mysql 的sql_mode
模式:pipes_as_concat 来实现oracle 的一些功能。
payload:
1;set sql_mode=PIPES_AS_CONCAT;select 1
(看红线,临时列)
感受
本来觉得难上天,最后发现多看几个网页,只到自己搞懂了,问题还是能解决的(除了这题猜测查询语句的本事,这个我不说了),谢谢网上的记录文档,让我可以学习
参考:
别人的WP