环境
BUUCTF提供的在线环境,启动靶机获取链接。
http://fa20025a-853c-4ab7-ae54-f02e03951229.node4.buuoj.cn:81/
解题思路
预期解
访问链接,得到一个输入框。
输入1时,输出1,输入2时,输出1,经测试输出数字时输出如上,当输入非数字时,没有输出。
接下来判断是什么类型的注入,当输入双引号时发现题目存在过滤。
所以我们来fuzz下看下都过滤了什么。
看来过滤的挺多的,昨天做了道堆叠注入的题,试下堆叠注入吧。
爆表名的时候爆出了flag表,但是测试过滤了flag。。。而且from也过滤了。。handler也过滤了。。
看得到摸不到啊。
只好看看别的师傅的wp了,又触碰到盲区了。
引自别的师傅的原话:这道题目需要我们去对后端语句进行猜测,有点矛盾的地方在于其描述的功能和实际的功能似乎并不相符,通过输入非零数字得到的回显1和输入其余字符得不到回显来判断出内部的查询语句可能存在有||,也就是select 输入的数据||内置的一个列名 from 表名,进一步进行猜测即为select post进去的数据||flag from Flag(含有数据的表名,通过堆叠注入可知),需要注意的是,此时的||起到的作用是or的作用。
理解下:select post进去的数据||flag from Flag
这就sql语句执行的是将提交的数据和flag或(or)运算的结果作为列名查询表中的数据。
创建个表格来具体看看结果吧。
创建flag表。
create table flag (id int,flag varchar(10));
插入一条数据。
insert flag value(1,'flag{08dc}');
先看看当前表中的数据select * from flag;
试试看下面的语句的返回结果。
select 1||1;
select 1||0;
select 0||0;
select 0||1;
结果确实像上面分析的一致,||是或(or)运算,返回的结果确实也是他们两者或运算后的结果。
查看当前sql_mode的值为:select @@sql_mode;
补充知识点:
在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode模式为pipes_as_concat 来实现oracle 的一些功能,即将‘||’当做连接符而不是或运算。
当设置为pipes_as_concat模式后再来测试下||的作用。
set sql_mode=PIPES_AS_CONCAT;
select @@sql_mode;
select 1||1 from flag;
select 1||0 from flag;
select 1||flag from flag;
select 0||flag from flag;
确实设置后,||变成了连接符而不是或运算。
所以我们的payload为:
1;set sql_mode=PIPES_AS_CONCAT;select 1
通过师傅们的wp知道了内置的SQL语句为:
sql="select".sql="select".post[‘query’]."||flag from Flag";
非预期解
因为没有过滤*,我们也可以构造payload为:
*,1
在我们本地测试执行结果确实也是可以读取表数据的。
select *,0||flag from flag;
补充知识点
附加几种常见的sql_mode值的介绍:
几种常见的mode介绍
ONLY_FULL_GROUP_BY:出现在select语句、HAVING条件和ORDER BY语句中的列,必须是GROUP BY的列或者依赖于GROUP BY列的函数列。
NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。
STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制
NO_ZERO_IN_DATE:这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式,2016-01-00是不允许的,但是0000-02-01是允许的。它实际的行为受到 strict mode是否开启的影响1。
NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。
ERROR_FOR_DIVISION_BY_ZERO:在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL
NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户
NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常
PIPES_AS_CONCAT:将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符
总结
又学到了新的知识点,每天一个知识点,每天都有收获。哈哈哈坚持下去冲冲冲。
扫一扫
716
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
