一、题目介绍
1、题目来源:
BUUCTF网站,网址:https://buuoj.cn/challenges
2、题目描述:
通过以上信息,拿到flag。
二、解题思路
首先打开靶机,尝试输入1查看回显,回显如图所示:
尝试将 1 和 or 一起输入,即 1 or 1=1。
显示 nonono,表明 or 被过滤了,这时我们就需要检查哪些关键字被过滤掉了,来判断此时应该使用什么注入方式。
首先利用 Burpsuite 进行抓包。
利用关键字字典对query进行爆破。
爆破完成,查看response,Length=560的关键字都是被过滤掉的。
得出最终结论,被过滤的关键字有:
prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|" 作者:雨落雪辰 https://www.bilibili.com/read/cv11014857/ 出处:bilibili
由此观之,报错注入,union联合注入,盲注皆不可行,所以我们尝试进行堆叠注入。
堆叠注入:将多条SQL语句放在一起,并用分号;隔开。
进行堆叠注入,先尝试查看数据库名称。
成功查询到数据库的名称,这表明堆叠注入是可行的,我们接着顺势查询表明。
看到表Flag,我们基本可以确定,flag在表Flag中。我们首先想到利用from来查询Flag,可是通过抓包分析可知,from关键字被过滤掉了,所以只能另寻他法。
此时我们想到,开始时我们输入1有会显,我们不妨再尝试输入0试试。
输入0发现无回显,我们尝试输入字母试试。
输入abc发现依然没有回显。这时我们可以总结出一条规律,输入非0数字--有会显,输入0或字母--没有回显,我们由此可以猜测后端代码含有 ||或运算符。
补充:|| 或or 运算符讲解:
select command1 || command2
情况一:若command1为非0数字,则结果为1。
情况二:若command1为0或字母,command2为非0数字,则结果为1。
情况三:command1和command2都不为非0数字,则结果为0。
通过以上分析,我们可以判断后端代码中存在或运算符。
查看本题的后端代码,事实与我们的判断相吻合。
$sql = "select ".$post['query']."||flag from Flag";
方法一:使用 sql_mode 中的 PIPES_AS_CONCAT 函数。
PIPES_AS_CONCAT:将 || 或运算符 转换为 连接字符,即将||前后拼接到一起。
select 1 || flag from Flag的意思将变成 先查询1 再查询 flag,而不是查询1flag,只是查询的结果会拼接到一起,不要弄混淆了。
所以查询语句如下:
1;sql_mode=PIPES_AS_CONCAT;select 1
查询结果如下:
1的查询结果为1,被flag的查询结果拼接到了一起,get到flag。
方法二:利用非预期漏洞获取flag。
1、非预期漏洞的概念:
若输入1,1。那么sql语句就变成了 select 1, 1 || flag from Flag。其中由 [1] 和 [1 || flag] 两部分组成,而非 [1,1] || [flag]。非预期漏洞是利用数据库对符号判断的不准确形成的漏洞。
2、如何拿到flag:
输入 *,1 后,sql语句就变成了 select * , 1 || flag from Flag。
其中分为两部分: (1) select * from Flag(2) select 1 || flag from Flag。
select * from Flag 通过查看表Flag中的所有数据可以 get到flag。
