BUUCTF web [ACTF2020 新生赛]Exec [强网杯 2019]随便注

[ACTF2020 新生赛]Exec 

通过这个页面很自然的想到命令执行漏洞 由于这里是测试ping的命令，自然想到多条命令执行

在windows下&& || %0a  liunx下 && || ； $() 都是联合执行的命令

;前面和后面命令都要执行，无论前面真假
|直接执行后面的语句
||如果前面命令是错的那么就执行后面的语句，否则只执行前面的语句
&前面和后面命令都要执行，无论前面真假
&&如果前面为假，后面的命令也不执行，如果前面为真则执行两条命令

这里先测试 ；也是限制最小的联合执行

通过ls 查看根目录下有什么文件

 发现flag

这里尝试一下cat查看flag 发现了flag

再次尝试tac发现也可以拿到flag

得到flag

 | 是直接执行后面的语句

 ||如果前面命令是错的那么就执行后面的语句，否则只执行前面的语句

 

[强网杯 2019]随便注

根据名字 页面考虑sql注入 

 

 

 加上’ or 1 = 1 ;

发现存在sql注入漏洞

 

 

 通过 'order by ;来尝试一下有多少字段

 这里在order by 3的时候提示没有3这个字段得知这里是2个字段

这里发现过滤了 

/select|update|delete|drop|insert|where|\./i

这里想到sql注入中的堆叠注入

在 SQL 中，分号（;）是用来表示一条 sql 语句的结束。

那我们可以通过；构建两条注入而在sql注入中 union（联合注入）是将两条sql注入语句合并 但是union可执行的sql语句类型是有限的，可以用来执行查询语句，而堆叠注入则没有限制

但是堆叠注入并不是在任何环境下都可以执行的，会受到像api,数据库引擎（InnoDB引擎，ISAM引擎等）

比如php中mysqli_multi_query()函数,这个函数在支持同时执行多条sql语句,而与之对应的mysqli_query()函数一次只能执行一条sql语句,所以要想目标存在堆叠注入,在目标主机没有对堆叠注入进行黑名单过滤的情况下必须存在类似于mysqli_multi_query()这样的函数
所以在ctf中目标要如果存在sql注入没有过滤“；”就可以考虑堆叠注入

通过show databases 得到数据库

 再通过 show tables 查看表的名字

 这里看到表名为数字

 通过这个图可以指定sql中数字名的表不能直接查询 要通过反引号包起

1' ; show columns from `1919810931114514` ;

 看到了得了flag

现在知道基本知道flag在flag字段中中，而select 又被过滤了

思路是把1919810931114514表改名为words表，把属性名flag改为id，然后用1’ or 1=1;# 显示flag出来

 先通过1'; rename table words to word1;将原来的words表改名成word1

再通过 1'; rename table `1919810931114514` to words;

alter table words change flag data varchar(100);

VARCHAR类型用于存储可变长度字符串，是最常见的字符串数据类型。它比固定长度类型更节省空间，因为它仅使用必要的空间(根据实际字符串的长度改变存储空间)。
  有一种情况例外，如果MySQL表使用ROW_FORMAT=FIXED创建的话，每一行都会使用定长存储

alter 作用：修改已知表的列。（ 添加：add | 修改：alter，change | 撤销：drop ）

show tables;

show columns from words;#

这里要一起执行不知道为什么 单独执行会错误

1'; rename table words to word1; rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alter table words change flag data varchar(100);#