sleepywin的博客

通过报错信息，可以找到闭合点，有报错信息，直接使用报错注入。数据库信息被回显出来了，报错信息可以使用，按正常的步骤走。联系之前原始页面写的“不是内网用户，无法别识身份”构造payload，检查是否可以进行报错注入。解码结果为admin，cookie为注入点。随便输入了一个，发现url有参数显示。把这个set-cookie解码出来为。试一下靶机的网址，返回nonono。查到flag表里只有一个flag列。查看源码，找到一个use.php。显示不是内部用户，无法识别信息。用bp抓包修改信息后，显示如下。

是因为单引号与服务端代码中的’形成闭合，输入的字符串hello包裹，服务端代码后面多出来一个‘导致语法错误，而加入#将后面的’注释掉之后不会报错，可确定为字符型SQL注入。，可判断注入为字符类型注入。说明union后的第2、3列被显示出来，因此我们可以利用这两列获取当前数据库、当前数据库所有列表名、列表所有字段名。页面有个输入框，猜测是sql注入，即search为注入参数点，先尝试一下。获得列名为fl4g可能存放着flag。读取文件，获得flag。