上周参加的swpuctf比赛第一道web题做了好久,在最后一个小时用非预期的方法做出来了,看了官方题解之后记录一下wp里面的无列名注入。
关于无列名注入可以看一下这篇链接
https://www.chabug.org/ctf/852.html
swpuctf的web1题目在buuoj上面已经复现了,可以去上面做一下,buuoj是目前市面上非常好的ctf练习平台。
登录了之后在发布广告处存在sql注入漏洞,我们输入的内容在输入后没有漏洞,当我们发布广告后查看广告详情的时候就造成了二次注入,从而产生了注入。
经过测试,
题目环境过滤了空格,我们使用/**/来进行绕过
过滤了or,因此我们无法使用order by 以及information_schema这个库
因为过滤了注释符,所以查询语句的最后我们要闭合单引号
我们先使用group by判断有多少字段以及回显位置
可以知道字段数为22
同时回显位置是2,3
在无法使用information_schema这个库,所以我们谷歌一下绕过的方法
https://www.anquanke.com/post/id/193512
所以我们使用 sys.schema_auto_increment_columns 库来进行查询
首先查询一下表名
payload为:
title=-1'union/**/select/**/1,
(select/**/group_concat(table_name)/**/from/**/sys.schema_auto_increment_colum
ns/**/where/**/table_schema=schema()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18
,19,20,21,'22&content=1&ac=add这里buuoj的平台好像没有 sys.schema_auto_increment_columns 这个库,但是在比赛的时候是可以查询到有ads,和users这两个表的,ads盲猜是广告相关的,而且题目的提示里面有使用somd5解密,所以可知我们应该是要获得admin或者flag用户的密码。
接着我们无列名注入users这个表里面的数据
-1'union/**/select/**/1,
(select/**/group_concat(a)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/sele
ct*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22这里对于无列名注入时我们是采用的子查询的方式,子查询是将一个查询语句嵌套在另一个查询语句中,在特定的情况下,一个查询语句的条件需要另一个查询语句来获取,内层查询语句的查询结果,可以为外层查询语句提供查询条件。
这里我们将users这个表里面的查询的结果提供给外部查询,同时把列名转换成a,b,这样我们后面就直接查询a,b列就可以获得结果
我们先查a列,得到的结果如下
可以猜测这里返回的是用户名
于是我们再group_concat(b),查询b列
获得的结果如下,
得到flag
个人感觉子查询主要在于内部查询的时候将列名转换了,然后外部查询内部查询改变的列名,即可实现绕过。