又是一道考察sql注入的题
1、起手试探
(主要看看输入什么内容有正确的回显)
1
0
1'
1' #
发现只有在输入1的情况下有正常的回显,输入0或其他字符都没有回显,所以这题就要尝试堆叠注入了。
ps:(如果想尝试其他注入方法,输入以下内容需要有回显
1' 报错
1'# 正确
)
2、爆库
1; show databases;
3、报表
1;show tables;
4、爆字段
1;show columns from 1;
1;show * from 1;
显示Nonono.,看来关键字from被ban了。
不费脑子的方法用不了了,只能猜测一下后端代码了。
先查看一下源码,看到传参类型为post,方式为query。
根据前面的回显:输入1到9返回Array ( [0] => 1(此处的1可能代表Ture) ),输入0或字符没有回显,仅有的两种回显,可以判断出,后端应该使用的是逻辑或,即条件为真进行回显或条件不满足返回空白
逻辑或:|| 两边,一侧为1则取1,否则取0。
同时题目中还有这样的一句提示的话,需要你将flag交给它,它告诉你flag是不是真的,也就是说名后端的内容很有可能是||拼接:1、从网页获取的内容。2、真正的flag的内容。
select $post['query'] || flag
ps:补充一堆
1、post请求的Parameter Type是可以是query,而一般情况下post请求方式的Parameter Type是 body,在一些极少情况下,post请求的参数体可能会存在body及query共存的情况。
2、所以这其实涉及到post请求的三大部分:header、body、query(简单来说:header:请求头、body:多参数请求体、query:单参数请求体)。
3、后端的接口在不注解的情况下默认是query,所以get请求用query,一般传递单个参数。而post请求多用body,一般传递多个参数。
4、params就是query参数,params的值只能是一个字符串,不能传递对象类型的参数,如果参数中涉及到了传递对象,就要选择body传参。
5、对象类型参数:顾名思义,参数类型是我们定义的类。我们知道int型参数,char型参数等,对象类型原理相同,即传入某个函数的参数是对象类型的
总的来说就是post['query']用来获取用户输入的字符串
所以我们需要将或逻辑改为与
1;set sql_mode=PIPES_AS_CONCAT;select 1
补充
其他sql_mode的参数:
ONLY_FULL_GROUP_BY:
对于GROUP BY聚合操作,如果在SELECT中的列,没有在GROUP BY中出现,那么这个SQL是不合法的,因为列不在GROUP BY从句中
NO_AUTO_VALUE_ON_ZERO:
该值影响自增长列的插入。默认设置下,插入0或NULL代表生成下一个自增长值。如果用户 希望插入的值为0,而该列又是自增长的,那么这个选项就有用了。
STRICT_TRANS_TABLES:
在该模式下,如果一个值不能插入到一个事务表中,则中断当前的操作,对非事务表不做限制
NO_ZERO_IN_DATE:
在严格模式下,不允许日期和月份为零
NO_ZERO_DATE:
设置该值,mysql数据库不允许插入零日期,插入零日期会抛出错误而不是警告。
ERROR_FOR_DIVISION_BY_ZERO:
在INSERT或UPDATE过程中,如果数据被零除,则产生错误而非警告。如 果未给出该模式,那么数据被零除时MySQL返回NULL
NO_AUTO_CREATE_USER:
禁止GRANT创建密码为空的用户
NO_ENGINE_SUBSTITUTION:
如果需要的存储引擎被禁用或未编译,那么抛出错误。不设置此值时,用默认的存储引擎替代,并抛出一个异常
PIPES_AS_CONCAT:
将"||"视为字符串的连接操作符而非或运算符,这和Oracle数据库是一样的,也和字符串的拼接函数Concat相类似
ANSI_QUOTES:
启用ANSI_QUOTES后,不能用双引号来引用字符串,因为它被解释为识别符
ORACLE的sql_mode设置等同:PIPES_AS_CONCAT, ANSI_QUOTES, IGNORE_SPACE, NO_KEY_OPTIONS, NO_TABLE_OPTIONS, NO_FIELD_OPTIONS, NO_AUTO_CREATE_USER.
写完之后上网上搜了一下,发现了另一种方法
*,1
根据大佬的判断,后端长这样
select post['query'] || flag from Flag
输入*,1就相当于构造了select *,1 || flag from Flag,这条语句执行起来相当于select *, 1 from Flag
原理:1||flag是个短路算法,直接输出1了
select *和select 所有列的意义相同,那么我们构造的select *,1 || flag from Flag ==select *,1 from Flag
参考文章:
BUUCTF [SUCTF 2019]EasySQL1 writeup(详细版)_buuctf easysql_今天不用学物理吧的博客-CSDN博客