SUCTF2019:EasySQL解析

SUCTF 2019: EasySQL 解析

此题目涉及的是堆叠注入技术。堆叠注入与 UNION 注入的主要区别在于，UNION 注入仅限于执行查询语句，而堆叠注入则允许执行多种类型的 SQL 语句，如 SELECT、UPDATE、INSERT 等。

然而，堆叠注入并非在所有情况下都能成功利用。例如，在 PHP 中，为了防止 SQL 注入攻击，使用 mysqli_query() 函数时，默认情况下只能执行单条 SQL 语句，分号后的任何内容都不会被执行。基于这一特性，我们可以推测后台逻辑可能是这样的：

select $_POST['query'] || flag from flag;

当输入任意字符时，输出结果始终为 Array ( [0] => 1 )，这里的 '1' 很可能是由于 OR 运算产生的布尔值。为了绕过这一限制，可以使用以下 payload：1; set sql_mode='PIPES_AS_CONCAT'; select 1

这里涉及到 MySQL 的系统变量 @@sql_mode，它定义了一组 MySQL 支持的基本语法及校验规则。其中，PIPES_AS_CONCAT 参数的作用是将 '||' 视为字符串连接操作符，而不是逻辑或运算符，这一点类似于 Oracle 数据库中的字符串拼接方式。

在 Oracle 数据库中，默认支持使用 '||' 来进行字符串拼接，但在 MySQL 中默认不支持。因此，需要通过设置 sql_mode 为 PIPES_AS_CONCAT 来启用这一功能。这样，'||' 就可以用来连接两个字符串，例如：

对于本题，由于没有对 '*' 字符进行过滤，因此使用 *,1 作为 payload 也是有效的：

网络安全的学习之路漫长且充满挑战，本文旨在记录个人在 CTF 比赛中的学习经历，希望能对读者有所启发。