buuctf-[SUCTF 2019]EasySQL 1(小宇特详解)
解法1
这里先用的是万能密码,发现不能使用,然后使用堆叠注入发现能够进行
堆叠注入查询数据库
1; show databases;
查询表名
1; show tables;
这里尝试直接访问Flag
1;show columns from Flag;#
发现不行
这里是最迷的一个地方,这里大佬能够猜出查询语句
select $_GET['query'] || flag from flag
这里的||在mysql中表示或,如果前一个操作数为真,则不看后面的语句,然后构造payload
*,1
这里的原理是
sql=select.post[‘query’]."||flag from Flag";
如果$post[‘query’]的数据为*,1,sql语句就变成了select *,1||flag from Flag,
就是select *,1 from Flag,这样就直接查询出了Flag表中的所有内容。
这里说一下我的理解
这里输入*,1,这里会增加一个临时列,他的列名为1,然后那一列的值都为1。
当我们只关心数据表有多少记录行而不需要知道具体的字段值时,类似“select 1 from tblName”是一个很不错的SQL语句写法,它通常用于子查询。这样可以减少系统开销,提高运行效率,因为这样子写的SQL语句,数据库引擎就不会去检索数据表里一条条具体的记录和每条记录里一个个具体的字段值并将它们放到内存里,而是根据查询到有多少行存在就输出多少个“1”,每个“1”代表有1行记录,同时选用数字1还因为它所占用的内存空间最小,当然用数字0的效果也一样。在不需要知道具体的记录值是什么的情况下这种写法无疑更加可取。
解法2
把||变成字符串连接符,而不是或
涉及到mysql中sql_mode参数设置,设置 sql_mode=pipes_as_concat字符就可以设置。
1;set sql_mode=PIPES_AS_CONCAT;select 1