既然是简单的,估计也就是\'\'字符型把,输入\'or\'1 以下是输出结果,or没被过滤,单引号也没有
呢么用union联合注入试试,提交了\'-1 union/**/select 1 and \'1,发现回显是
嗯哼,什么情况,当把空格都用/**/代替后,回显正常,应该是关键字空格一起吃掉的过滤。所以,我们一个一个来尝试把。
http://ctf5.shiyanbar.com/423/web/?id=-1\'union/**/select/**/group_concat(_name)from/**/information_schema.tables/**/where/**/tabletable_schema_schema=database()/**/and\'1
通过一个一个关键字的试探,终于试出来了表名。然后又艰苦的试来试去,爆出了列名。
然后爆出数据用where\'1\'恒等爆出数据
如果做的多,一般直接猜到flag列flag表,直接最后一步,在知道空格被过滤的情况下,这里还可以用%0a换行符代替空格