[SUCTF 2019]EasySQL1

这是一个简单的SQL注入题,但是因为我的SQL基础约等于0,所以做起来很难。

首先试试引号是否被过滤

可以看到单引号、双引号都被过滤了,试试其他的盲注都不行,基本上可以确定不能用这种方法。

在测试的过程中发现,输入数字会返回1,输入字母则不显示任何内容。所以推测后端是这样的结构:

复制代码
select $_POST['query'] || flag from Flag

如果||左边执行成功,则返回。所以这里可以构造payload:*,1

拿到flag,select *,1||flag from Flag 。奇怪的是 payload如果是 1,*则不显示任何内容。还是学的不深,经验不够。

除了这种盲注,还可以用堆叠注入的方式,先试一下能否进行堆叠注入。1;show databases;#

查询到了数据库。接着看看数据表。2;showtables;#

可以看到有个Flag表,那么flag应该就在这个表里了。2;show columns from Flag;#

返回nonono,猜测过滤了Flag。所以更加确定后端语句中有 || flag From Flag这样的结构。这里再次想到拼接。即使用payload 2;select *,1

可以看到得到了Flag,其实跟第一种方法差不多,主要是猜测出存在 ||flag from Flag的结构。

除了拼接合适的SQL语句外,还可以修改SQL语句的模式,让||不是作为或逻辑运算符,而是作为字符连接符。

这样是把 select 1|| flage from Flag 替换成 select 1flag From Flag,可以看到查询的结果是1flag,不知道为啥这样也能把flag提取出来,后面做多了可能能想明白。

相关推荐
SelectDB17 分钟前
云数仓费钱?用 SelectDB Serverless 三步配出秒级弹性,最高降本 70%
数据库·云原生·数据分析
time展天119 分钟前
Dddify:给 ASP.NET Core 项目一套轻量、清晰、可落地的 DDD 基础设施
数据库·后端·asp.net
杜子不疼.31 分钟前
【Qt初识】工程起步:项目创建、代码解读与对象树
数据库·c++·qt
SelectDB36 分钟前
Agent 场景动态 JSON 性能拆解:Apache Doris 比 ClickHouse 快 7 倍、比 Elasticsearch 快 2 倍
数据库·json·agent
宠友信息43 分钟前
MySQL 租户数据隔离在即时通讯源码后端中的落地方式
java·数据库·spring boot·redis·websocket·mysql
jnrjian2 小时前
PG 切换用户 \c -
数据库·postgresql
Database_Cool_2 小时前
内存数据库持久化方案:阿里云 Tair 持久内存型数据不丢失
数据库·阿里云
treesforest2 小时前
高精度IP定位怎么选?从企业需求出发的选型指南
网络·数据库·tcp/ip·web安全·ip·高精度ip查询
吴声子夜歌2 小时前
Redis 5.x——pub/sub和Stream
数据库·redis·bootstrap
吴声子夜歌2 小时前
Redis 5.x——多种数据类型使用场景
数据库·redis