打开环境,发现依旧是sql注入

GitHub上有源码(https://github.com/team-su/SUCTF-2019/tree/master/Web/easy_sql)

index.php源码

<?php

    session_start();

    include_once "config.php";

    $post = array();

    $get = array();

    global $MysqlLink;

    //GetPara();

    $MysqlLink = mysqli_connect("localhost",$datauser,$datapass);

    if(!$MysqlLink){

        die("Mysql Connect Error!");

    }

    $selectDB = mysqli_select_db($MysqlLink,$dataName);

    if(!$selectDB){

        die("Choose Database Error!");

    }

    foreach ($_POST as $k=>$v){

        if(!empty($v)&&is_string($v)){

            $post[$k] = trim(addslashes($v));

        }

    }

    foreach ($_GET as $k=>$v){

        if(!empty($v)&&is_string($v)){

            $get[$k] = trim(addslashes($v));

        }

    }

    //die();

    ?>

<html>

<head>

</head>

<body>

<a> Give me your flag, I will tell you if the flag is right. </a>

<form action="" method="post">

<input type="text" name="query">

<input type="submit">

</form>

</body>

</html>

<?php

    if(isset($post['query'])){

        $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|from|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";

        //var_dump(preg_match("/{$BlackList}/is",$post['query']));

        if(preg_match("/{$BlackList}/is",$post['query'])){

            //echo $post['query'];

            die("Nonono.");

        }

        if(strlen($post['query'])>40){

            die("Too long.");

        }

        $sql = "select ".$post['query']."||flag from Flag";
     //sql执行语句

        mysqli_multi_query($MysqlLink,$sql);

        do{

            if($res = mysqli_store_result($MysqlLink)){

                while($row = mysqli_fetch_row($res)){

                    print_r($row);

                }

            }

        }while(@mysqli_next_result($MysqlLink));

    }

?>

SQL执行的语句:$sql="select ".$post['query']."||flag from Flag";

第一种:堆叠注入,使得sql_mode的值为PIPES_AS_CONCAT。
payload:setsql_mode=PIPES_AS_CONCAT;
所以整个语句为:1;set sql_mode=PIPES_AS_CONCAT;select 1

第二种:

根据SQL执行语句:$sql="select ".$post['query']."||flag from Flag";

构造出:$sql="select *,1 ||flag from Flag";

所以直接输入“*,1”就可直接出flag

buuctf刷题之旅—web—EasySQL的更多相关文章

  1. buuctf刷题之旅—web—随便注

    打开环境 根据提示应该是sql注入 查看数据库名,和数据表 1';show databases;# 1';show tables;# 查看表内字段(1';desc `1919810931114514` ...

  2. buuctf刷题之旅—web—WarmUp

    启动靶机 查看源码发现source.php 代码审计,发现hint.php文件 查看hint.php文件(http://7ab330c8-616e-4fc3-9caa-99d9dd66e191.nod ...

  3. BUUCTF刷题记录(Web方面)

    WarmUp 首先查看源码,发现有source.php,跟进看看,发现了一堆代码 这个原本是phpmyadmin任意文件包含漏洞,这里面只不过是换汤不换药. 有兴趣的可以看一下之前我做的分析,http ...

  4. Leecode刷题之旅-C语言/python-1.两数之和

    开学后忙的焦头烂额(懒得很),正式开始刷leecode的题目了. 想了想c语言是最最基础的语言,虽然有很多其他语言很简单,有更多的函数可以用,但c语言能煅炼下自己的思考能力.python则是最流行的语 ...

  5. Buuctf刷题:部分

    get_started_3dsctf_2016 关键词:ROP链.栈溢出.mprotect()函数 可参考文章(优质): https://www.cnblogs.com/lyxf/p/12113401 ...

  6. Leecode刷题之旅-C语言/python-387 字符串中的第一个唯一字符

    /* * @lc app=leetcode.cn id=387 lang=c * * [387] 字符串中的第一个唯一字符 * * https://leetcode-cn.com/problems/f ...

  7. BUUCTF刷题系列(2)5.27日记

    CTF-Bugku-安卓篇1signin Writeup Bugku安卓部分第一题,第七届山东省大学生网络安全技能大赛的题目,属于Android逆向分析.(常用工具:安卓模拟器.JEB.Cyberch ...

  8. Leecode刷题之旅-C语言/python-112 路径总和

    /* * @lc app=leetcode.cn id=112 lang=c * * [112] 路径总和 * * https://leetcode-cn.com/problems/path-sum/ ...

  9. Leecode刷题之旅-C语言/python-434 字符串中的单词数

    /* * @lc app=leetcode.cn id=434 lang=c * * [434] 字符串中的单词数 * * https://leetcode-cn.com/problems/numbe ...

随机推荐

  1. Shell脚本命令常用技巧

    如果一个命令只有一次输出,但想持续观察输出变化,使用watch -d -n1 'df -h'可行,df -h输出一次硬盘使用情况,用上面指令可以持续观察.-d表示相邻输出如果有差异要高亮标记,-n1表 ...

  2. windows上mysql5.7服务启动报错

    安装之后,启动服务 net start mysql,无法启动,日志报错缺少一些系统表,mysql.user等表 解决办法: bin目下执行:mysqld --initialize-insecure - ...

  3. centos 7 安装vncserver遇到错误解决

    安装网上一般的教程安装配置,略. 执行 systemctl start vncserver@:1.service 启动服务报错: Job for vncserver@:1.service failed ...

  4. Web服务器-正则表达式-正则其他(3.1.3)

    @ 目录 其他api说明 关于作者 其他api说明 pattern = re.compile(r'\d+') m = pattern.match('6e812738712aaadad13') m.gr ...

  5. angular8 大地老师学习笔记---第六课

    export class TodolistComponent implements OnInit { public keyword:string; public todolist:any[]=[]; ...

  6. Java 12 新特性

    Java 12 已如期于 3 月 19 日正式发布,此次更新是 Java 11 这一长期支持版本发布之后的一次常规更新,截至目前,Java 半年为发布周期,并且不会跳票承诺的发布模式,已经成功运行一年 ...

  7. JavaScript实现自定义右键菜单

    JavaScript实现自定义右键菜单,思路如下: 1. 屏蔽默认右键事件: 2. 隐藏自定义的菜单模块(如div.ul等): 3. 右键点击特定或非特定区域,显示菜单模块: 4. 再次点击,隐藏菜单 ...

  8. Neighbour-Joining (NJ算法)

    clc;clear all;close all; Distance = [0,2,4,6,6,8; 2,0,4,6,6,8; 4,4,0,6,6,8; 6,6,6,0,4,8; 6,6,6,4,0,8 ...

  9. Python利用zmail收取邮件

    收取邮件一般用pop和imap,这里使用国人大神开发的zmail来收取: 1 ''' 2 #利用zmail收取邮件 3 #只要几行代码 4 #安装库:pip3 install zmail 5 #国内大 ...

  10. PHP功能代码片段

    1.连接MYSQL数据库代码  <?php  $connec=mysql_connect("localhost","root","root&qu ...