标签：SUCTF EasySQL flag 2019 mode sql query post select

好长时间没有写博客了，水一篇文章
拿到题目发现让输入内容，尝试了一下只有三种回显，又发现是sql注入，于是fuzz一下。
第一种:500,显示内容为空，表示字段没有被过滤
第二种:523 表示当前字段都没有被过滤，可以用

第三种：为507，显示内容为nonono，可知已经被过滤掉了
仔细看会发现，报错注入，时间注入，还有联合查询的函数都被禁用了，原则上应该在试试加密绕过，但是本题加密绕过也不能注入，我直接看了wp，

在网上找到了源码：

<?php
    session_start();

    include_once "config.php";

    $post = array();
    $get = array();
    global $MysqlLink;

    //GetPara();
    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
    if(!$MysqlLink){
        die("Mysql Connect Error!");
    }
    $selectDB = mysqli_select_db($MysqlLink,$dataName);
    if(!$selectDB){
        die("Choose Database Error!");
    }

    foreach ($_POST as $k=>$v){
        if(!empty($v)&&is_string($v)){
            $post[$k] = trim(addslashes($v));
        }
    }
    foreach ($_GET as $k=>$v){
        }
    }
    //die();
    ?>

<html>
<head>
</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>

<?php

    if(isset($post['query'])){
        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
        //var_dump(preg_match("/{$BlackList}/is",$post['query']));
        if(preg_match("/{$BlackList}/is",$post['query'])){
            //echo $post['query'];
            die("Nonono.");
        }
        if(strlen($post['query'])>40){
            die("Too long.");
        }
        $sql = "select ".$post['query']."||flag from Flag";
        mysqli_multi_query($MysqlLink,$sql);
        do{
            if($res = mysqli_store_result($MysqlLink)){
                while($row = mysqli_fetch_row($res)){
                    print_r($row);
                }
            }
        }while(@mysqli_next_result($MysqlLink));

    }

    ?>

可知mysql_multi_query()，可以用堆叠注入，接下来就是堆叠注入了

1;show databases;

爆出了数据库
爆出了数据表Flag，猜测flag字段就在这个数据表之中。但上面说了flag字段被过滤了，且大多函数都用不了。
wp给出了两种解法 ：
第一种：预期解 payload:

  1;set sql_mode=PIPES_AS_CONCAT;select 1

在oracle 默认支持 通过 ‘ || ’ 来实现字符串拼接，但在mysql 默认不支持。需要调整mysql 的sql_mode
模式：pipes_as_concat 来实现oracle 的一些功能

$sql = "select ".$post['query']."||flag from Flag";

源代码中：||为or的意思，而将 sql_mode=PIPES_AS_CONCAT时改为拼接的意思了，那么执行语句直接就是将输入内容前后拼接，则变成：

select 1 flag from Flag

这样直接查出flag。

第二种 payload：

   *,1

mysql执行的语句：

select *,1||flag from Flag

这样就直接把所有Flag内容查出来了

附加几种常见的sql_mode值的介绍：

几种常见的mode介绍 ONLY_FULL_GROUP_BY：出现在select语句、HAVING条件和ORDER
BY语句中的列，必须是GROUP BY的列或者依赖于GROUP BY列的函数列。

NO_AUTO_VALUE_ON_ZERO：该值影响自增长列的插入。默认设置下，插入0或NULL代表生成下一个自增长值。如果用户希望插入的值为0，而该列又是自增长的，那么这个选项就有用了。

STRICT_TRANS_TABLES：在该模式下，如果一个值不能插入到一个事务表中，则中断当前的操作，对非事务表不做限制

NO_ZERO_IN_DATE：这个模式影响了是否允许日期中的月份和日包含0。如果开启此模式，2016-01-00是不允许的，但是0000-02-01是允许的。它实际的行为受到
strict mode是否开启的影响1。

NO_ZERO_DATE：设置该值，mysql数据库不允许插入零日期。它实际的行为受到 strictmode是否开启的影响2。

ERROR_FOR_DIVISION_BY_ZERO：在INSERT或UPDATE过程中，如果数据被零除，则产生错误而非警告。如果未给出该模式，那么数据被零除时MySQL返回NULL

NO_AUTO_CREATE_USER：禁止GRANT创建密码为空的用户

NO_ENGINE_SUBSTITUTION：如果需要的存储引擎被禁用或未编译，那么抛出错误。不设置此值时，用默认的存储引擎替代，并抛出一个异常

PIPES_AS_CONCAT：将”||”视为字符串的连接操作符而非或运算符，这和Oracle数据库是一样的，也和字符串的拼接函数Concat相类似

ANSI_QUOTES：启用ANSI_QUOTES后，不能用双引号来引用字符串，因为它被解释为识别符

收获：以后在遇到sql注入题目的时候可以试试这种方法，给出了一种新的思路。
参考链接：
https://www.jianshu.com/p/5644f7c39c68
https://www.cnblogs.com/gtx690/p/13176458.html

标签：SUCTF,EasySQL,flag,2019,mode,sql,query,post,select
来源： https://blog.csdn.net/qq_36438489/article/details/120579639

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。