获取靶机
先来试一下闭合方式,分别输入 1 1# , 1’ 1’# , 1" 1"#。
发现 1 1# 有回显Array,1’ 1’# ,无回显,1",1"# 提示nonono,应该是被过滤。
猜测应该是 " 闭合,如果 ’ 闭合前面应该会报错。然而并不是,这里的查询语句有点不一样。看源码发现是数值型。
尝试常用注入方法,发现还是可以堆叠注入。
- 1;show databases;#
- 1;show tables;
- 1;show columns from flag;# 或 1;desc flag;#
再尝试发现 from 和列名flag也被过滤,所以我们不能直接读取flag表里的内容。然后就没有然后了,还是看wp。
payload:*,1
此时sql语句为 select *,1||flag from flag;
用 * 查询所有内容,成功显示flag。
这里结合源码就不难理解。
因为没有过滤 *,而且还知道源码。
关键还是知道源码。