题目考查点

Sql手工注入

涉及知识点

1.注入点寻找
2.判断字段长度
3.判断字段位置
4.查询数据库名、表名、表中的字段和字段信息

解题步骤

以下解题步骤主要参考了这两篇文章https://www.cnblogs.com/conquer-vv/p/11307682.html
https://blog.csdn.net/qq_39353923/article/details/82901903
说实话，我做这个题就是照着上面文章来的，搜sql手工注入结果找到了一个差不多的题，做出来这个题很是胜之不武，也没啥成就感。具体步骤如下：
1.找注入点，判断是否存在注入点常用套路是输入语句’、and 1=1或and 1=2,来判断网站是否存在注入点。尝试在正常数据后加上单引号，发现数据为空，加上注释符(注释符:#,–+ , //, – )后发现依旧可以正常输出,那么可以判断存在注入点。
2.用order by 来判断字段长度。
3.使用union或者union all将SQL语句联合起来判断字段位置，并可以查询数据库名、表名、表中的字段和字段信息。最终在字段信息中找到flag