BUUCTF WEB EasySQL
进去后看到的页面是:
然后由于这个题目提示SQL注入,先试试
1
1'
1"
1'#
1"#
发现上面几种都得到了一个空白页面,所以好像就不能再继续构造其他的语句了。但是这个符合堆栈注入的特征。试一下 1;show databases;
结果就把所有的数据库爆出来了,接下来试试 1;show tables;
然后尝试报数据,`1;select * from Flag;
发现不行,应该是过滤了,所以我看了一下别人的WP,直接到GITHUB上下载源码,
<?php
session_start();
include_once "config.php";
$post = array();
$get = array();
global $MysqlLink;
//GetPara();
$MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
if(!$MysqlLink){
die("Mysql Connect Error!");
}
$selectDB = mysqli_select_db($MysqlLink,$dataName);
if(!$selectDB){
die("Choose Database Error!");
}
foreach ($_POST as $k=>$v){
if(!empty($v)&&is_string($v)){
$post[$k] = trim(addslashes($v));
}
}
foreach ($_GET as $k=>$v){
if(!empty($v)&&is_string($v)){
$get[$k] = trim(addslashes($v));
}
}
//die();
?>
<html>
<head>
</head>
<body>
<a> Give me your flag, I will tell you if the flag is right. </a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>
<?php
if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
if(strlen($post['query'])>40){
die("Too long.");
}
$sql = "select ".$post['query']."||flag from Flag";
//sql执行语句
mysqli_multi_query($MysqlLink,$sql);
do{
if($res = mysqli_store_result($MysqlLink)){
while($row = mysqli_fetch_row($res)){
print_r($row);
}
}
}while(@mysqli_next_result($MysqlLink));
}
?>
根据SQL执行语句: s q l = " s e l e c t " . sql="select ". s q l = " s e l e c t " . post[‘query’]."||flag from Flag";
payload为:: *,1
构造出:$sql=“select *,1 ||flag from Flag”;
数据库的后端会直接吧1||flag当作一个列名,结果就出来了。
补充一下,为了试验一下为什么是这样的,我用自己电脑的SQL命令执行框试了一下:
发现还真是这样的,,数据库自动把1||id当作一个列名单独列出来了。
[极客大挑战 2019]EasySQL
这个题目相对来说解题的思路很窄:
最简单的,,先用个万能密码试一下:
还有一种方法也是挺奇怪的:
版权声明:本文为m0_46315342原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。