0x00
打开网页如下
进行测试,发现有三种返回结果分别为:
- 空
- Nonono.
- 返回数组结果
经过测试,还发现大多数的数组可以返回结果,字母返回为空,带有数据库查询关键字的返回 Nonono.
据我猜测,返回为空的应该是sql语句没有查询到结果
返回为 Nonono.的应该是存在过滤条件
还发现存在堆叠注入,通过如下payload查询到了表
1;show tables;#
flag就存在Flag表中,再用如下payload进行查询:
1;show columns from `Flag`;#
结果发现里面存在被过滤的关键字,然后我就不知道该怎么弄了,只好查询WP
结果发现这道题也太坑了,不看WP完全想不到的方向。。。
0x01
看完源码,知道了后台的sql语句如下:
select ?||flag from Flag
## ?为输入的关键字
这需要知道一些数据库中的一些知识:
在oracle中 || 默认为连接符,在MySQL中默认为逻辑或,如果想变成连接符需要sql语句设置(set sql_mode=PIPES_AS_CONCAT)
连接符指的是查询结果进行连接
所以这道题会有两种解:
官方解:
1;set sql_mode=PIPES_AS_CONCAT;select 1
其他解:
*,1
## select *,1||flag from Flag
## 逻辑运算后变成了
## select *,1 from Flag