关于SQL注入，绕过逗号过滤

前言

最近在i春秋遇到一道sqli题目，觉得很有意思，总结一下与大家分享。
“百度杯”CTF比赛 九月场，SQLi

题目

如下，注入点是id参数：

测试

测试发现，逗号后面的内容都消失了。结论：不能使用带逗号的sql语句进行注入。存在盲注。

解题

可以使用两种方法注入。union联合注入和盲注。

1.union联合注入

使用join代替逗号。如下：

剩下的就是常规手段了，利用information_schema库，爆出库、表、列名。最终如下：

2.盲注

这个方法就有意思了。

经测试，存在bool型盲注。利用substring函数和ascii函数搞。。。substring函数无需逗号。

写脚本，先猜库名：

表名：

列名：

flag：

总结

1.join代替逗号
2.substring函数无需逗号
3.注意小括号的闭合
4.注释不能用#和–+，要用%23，也就是#的url编码。