见到这题,我就和上面的图片是一样的(很形象)
扫出个注册页面
简单fuzz,可以知道他过滤了逗号和information,没有逗号,就防止了报错注入,因为注册界面一般是insert语句。又把information这个SQL注入中重要的数据库过滤了。然后就很难。
正确思路应该是二次注入
当注册时用户名使用:1' and '0
当注册时用户名为:1' and '1
所以这里是存在二次注入的。
在mysql中,+只能当做运算符。
这是因为flag的16进制之后有字母
测到后面我认为这个方法会有问题,变成科学计数法了。
所以我选择另外一种方法:用ASCII码
按照想法测试一下:
0'+ascii(substr(database() from 1 for 1))+'0
接着就是写脚本跑了,不能人工测啊,那多麻烦。思路网上看,脚本我还是自己写。