https://www.ctfer.vip/problem/2034

昨天不是提到了web入門的學(xué)習(xí)順序么，在NSS上題目右側(cè)有鏈接，這里也放一下：

(資料圖片)

https://www.ctfer.vip/problem/sheet/3162

然后是因為昨天看到很多NISA的題，搜了一下發(fā)現(xiàn)還剩一道沒做，是sql題，辣沒事了，我sql荒廢了好久好久，只記得一點知識啥的，那就靠這道題慢慢找回感覺吧= =

hint:WEB SQL注入 WAF繞過

言歸正傳：

點擊登錄后直接看到注入框：

本來這里改用fuzz跑一下，但是但是我昨天說了我fuzz的字典無了，老懶狗啦，要么自己輸點什么跑一下，要么就邊做邊摸索，再懶一點就直接看別人wp看看過濾啥了:

沒錯我是最懶的：

https://blog.csdn.net/m0_64815693/article/details/127737194

以及NSS本題中Zh1Ao師傅的題解https://www.ctfer.vip/problem/2034

and by cast column case assic " & if = %22 ?or? benchmark updatexml substring update floor handler sleep database as insert left 看到過濾了database，沒什么問題，搜一個不存在的表會報錯顯示庫名的，

當(dāng)然這里沒有過濾空格這些，其實空格被過濾了繞過方式很多，比如最常用的/**/啊，%20 %09這些啊，當(dāng)然()也可以。

那么這里首先這里fuzz應(yīng)該沒全，union也會遇到waf：

然后利用管道符:

這里放不出來句子，b站會檢測稿子里的sql句子然后危險警告= =只能放圖片了抱歉。

這里就會報錯返回數(shù)據(jù)庫名：

得到數(shù)據(jù)庫名sqlsql后開始查表:

extractvalue()報錯注入，等號用like替代，昨天的注入題也提到過了

這一句所有WP都基本寫的都差不多，得到兩個表，眾所周知，sql里的flag都不在flag表里

所以我們直接看output= =，開玩笑的啦，這里兩個表都看過了只放了output的內(nèi)容，但是column被ban了怎么辦呢，別急，你看題目：join--us

這其實也是提示join:sql中的連接詞，一般是無列名注入題出現(xiàn)的，

https://blog.csdn.net/qq_51862722/article/details/118685154

依舊被ban了句子放圖片，無列名注入我記得之前有篇博客也講過了，

得到了字段名：

這個時候出現(xiàn)了問題，一般在報錯注入里面我們是用left和right，在這里left被ban了就引用到了另一個mid函數(shù)：

https://blog.csdn.net/Little_jcak/article/details/123867861

語法：

MID(str,pos)MID(str FROM pos)MID(str,pos,len)MID(str FROM pos FOR len)

兩個句子補全，

后半段，注意前面重合部分要刪掉哦

拼出來得到flag:

NSSCTF{a5c2fc7c-440c-4c3c-8b4c-4c3c-8b4c-52cce1400898}

好久沒做雀氏生疏了，那么期待我們下一題再見！

關(guān)鍵詞： 沒什么問題 眾所周知 這個時候