[极客大挑战 2019]Havefun、[ACTF2020 新生赛]Include、[SUCTF 2019]EasySQL

[极客大挑战 2019]Havefun

进入环境就如下图啥都没给我查看了一下源码

直接给出了flag???尝试了一下结果是一个假的flag，然后我们分析源代码很容易看出我们通过GET方式给cat传一个值，如果cat的值为dog就输出flag，这很简单了我们通过get方式给cat传一个叫dog的值我们就能获得flag，payload如下

?cat=dog

得到flag

[ACTF2020 新生赛]Include

进入环境有个tips我们点进去看看

这时我们注意url的变化

http://494eb3f3-a3b4-4a38-9d6b-ca0ce5daef92.node4.buuoj.cn:81/?file=flag.php

尝试使用php伪协议读取flag.php的内容，payload

?file=php://filter/convert.base64-encode/resource=flag.php

成功读到以base64加密方式加密的flag，然后我们解码得出flag即可

[SUCTF 2019]EasySQL

根据题目我们又知道了这道是一道sql注入的题目，进入环境先尝试输入。输入非0数字的时候会给一个回显

大小写字母没有回显

判断是什么闭合输入1#有回显，而1’和1‘#均没有输出，感觉是数字型sql注入

然后我大致fuzz测试了一下但是速度不能太快否则会429

返回包的长度为523的是可以使用的而其他是不可以的，既然;可以使用那么我们很容易就想到了要使用堆叠注入，payload

1;show databases;

然后我们看看表

然后我想使用desc和handler全部统统过滤……

补充知识点

在默认情况下mysql中||运算符是逻辑或运算符(即or),但取决于PIPES_AS_CONCAT SQL模式。如果启用set sql_mode=pipes_as_concat模式，则||运算符用作字符串连接

例子

继续解题，输入非零数字得到结果一直是1而输入其他字符的数据就得不到回显猜测内部sql语句为

select post['query'] || flag from Flag;

那么这里就有两种解题思路

第一种

payload:*,1
这样我们执行的语句就为
select *,1 || flag from Flag;
即
select *,1 from Flag;

后面的[1]=>1是因为列名中有一个1;新增加了一个值为1,列名为1的临时列

第二种

payload:1;set sql_mode=pipes_as_concat;select 1
sql就会变为
select 1;set sql_mode=pips_as_concat;select 1||flag from Flag;
即
select 1;set sql_mode=pips_as_concat;select concat(1,flag) from Flag;
意思为:
输出1；将||作为连接符使用，将输出结果中的1和flag字段连接起来