标签：SUCTF Flag EasySQL flag 2019 sql query post select

GitHub上有源码（https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql）
index.php源码

<?php
    session_start();
    
    include_once "config.php";
    
    $post = array();
    $get = array();
    global $MysqlLink;
    
    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }
    
    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $get[$k] = trim(addslashes($v));
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php
    
    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
　　　　 //sql执行语句
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));
        
    }
    
?>

SQL执行的语句： s q l = " s e l e c t " . sql="select ". sql="select".post[‘query’]."||flag from Flag";

$post[‘query’]:就是前台通过post方法传到后端的query值

堆叠注入：

1;show databases;   #查库
1;show tables;      #查表

可以发现只有一个Flag表，看了大佬的blog发现了语句长度限制了40位，所以想要像强网一样的改表面和预编译的操作都不可以了。并且过滤了from等等（fuzz下就好了，这次放出了select）

第一种：
根据SQL执行语句： s q l = " s e l e c t " . sql="select ". sql="select".post[‘query’]."||flag from Flag";

构造出：$sql=“select *,1 ||flag from Flag”;

等同于select ,1 from Flag
所以直接输入“,1”就可直接出flag，这里的||是
逻辑或

第二种：堆叠注入，使得sql_mode的值为PIPES_AS_CONCAT。
payload：setsql_mode=PIPES_AS_CONCAT;
所以整个语句为：1;set sql_mode=PIPES_AS_CONCAT;select 1

关于 sql_mode : 它定义了 MySQL 应支持的 SQL 语法，以及应该在数据上执行何种确认检查，其中的PIPES_AS_CONCAT将 ||视为字符串的连接操作符而非 “或” 运算符
还有就是这个模式下进行查询的时候，使用字母连接会报错，使用数字连接才会查询出数据，因为这个||相当于是将 select 1 和 select flag from flag 的结果拼接在一起

参考博客：
https://blog.csdn.net/qq_45552960/article/details/104185620
https://www.cnblogs.com/anweilx/p/12353294.html

标签：SUCTF,Flag,EasySQL,flag,2019,sql,query,post,select
来源： https://blog.csdn.net/weixin_45577185/article/details/116058543

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。