好长时间没有写博客了,水一篇文章
拿到题目发现让输入内容,尝试了一下只有三种回显,又发现是sql注入,于是fuzz一下。
第一种:500,显示内容为空,表示字段没有被过滤
第二种:523 表示当前字段都没有被过滤,可以用
第三种:为507,显示内容为nonono,可知已经被过滤掉了
仔细看会发现,报错注入,时间注入,还有联合查询的函数都被禁用了,原则上应该在试试加密绕过,但是本题加密绕过也不能注入,我直接看了wp,
在网上找到了源码:
<?php session_start(); include_once "config.php"; $post = array(); $get = array(); global $MysqlLink; //GetPara(); $MysqlLink = mysqli_connect("localhost",$datauser,$datapass); if(!$MysqlLink){ die("Mysql Connect Error!"); } $selectDB = mysqli_select_db($MysqlLink,$dataName); if(!$selectDB){ die("Choose Database Error!"); } foreach ($_POST as $k=>$v){ if(!empty($v)&&is_string($v)){ $post[$k] = trim(addslashes($v)); } } foreach ($_GET as $k=>$v){ } } //die(); ?> <html> <head> </head> <body> <a> Give me your flag, I will tell you if the flag is right. </ a> <form action="" method="post"> <input type="text" name="query"> <input type="submit"> </form> </body> </html> <?php if(isset($post['query'])){ $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\""; //var_dump(preg_match("/{$BlackList}/is",$post['query'])); if(preg_match("/{$BlackList}/is",$post['query'])){ //echo $post['query']; die("Nonono."); } if(strlen($post['query'])>40){ die("Too long."); } $sql = "select ".$post['query']."||flag from Flag"; mysqli_multi_query($MysqlLink,$sql); do{ if($res = mysqli_store_result($MysqlLink)){ while($row = mysqli_fetch_row($res)){ print_r($row); } } }while(@mysqli_next_result($MysqlLink)); } ?>
可知mysql_multi_query(),可以用堆叠注入,接下来就是堆叠注入了
1;show databases;
爆出了数据库
爆出了数据表Flag,猜测flag字段就在这个数据表之中。但上面说了flag字段被过滤了,且大多函数都用不了。
wp给出了两种解法 :
第一种:预期解 payload:
1;set sql_mode=PIPES_AS_CONCAT;select 1
在oracle 默认支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 默认不支持。需要调整mysql 的sql_mode
模式:pipes_as_concat 来实现oracle 的一些功能
$sql = "select ".$post['query']."||flag from Flag";
源代码中:||为or的意思,而将 sql_mode=PIPES_AS_CONCAT
时改为拼接的意思了,那么执行语句直接就是将输入内容前后拼接,则变成:
select 1 flag from Flag
这样直接查出flag。
第二种 payload:
*,1
mysql执行的语句:
select *,1||flag from Flag
这样就直接把所有Flag内容查出来了
附加几种常见的sql_mode值的介绍:
几种常见的mode介绍 ONLY_FULL_GROUP_BY:出现在select语句、HAVING条件和ORDER
BY语句中的列,必须是GROUP BY的列或者依赖于GROUP BY列的函数列。NO_AUTO_VALUE_ON_ZERO:该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。
STRICT_TRANS_TABLES:在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制
NO_ZERO_IN_DATE:这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式,2016-01-00是不允许的,但是0000-02-01是允许的。它实际的行为受到
strict mode是否开启的影响1。NO_ZERO_DATE:设置该值,mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。
ERROR_FOR_DIVISION_BY_ZERO:在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如果未给出该模式,那么数据被零除时MySQL返回NULL
NO_AUTO_CREATE_USER:禁止GRANT创建密码为空的用户
NO_ENGINE_SUBSTITUTION:如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常
PIPES_AS_CONCAT:将”||”视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
ANSI_QUOTES:启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符
收获:以后在遇到sql注入题目的时候可以试试这种方法,给出了一种新的思路。
参考链接:
https://www.jianshu.com/p/5644f7c39c68
https://www.cnblogs.com/gtx690/p/13176458.html